Il nostro Malware Lab ha condotto un’approfondita analisi su DivulgeStealer, una famiglia di malware appartenente alla categoria degli “stealer”, attivamente promossa nei forum del dark web. La prima versione del builder è liberamente disponibile su GitHub, tuttavia da varie ricerche è emersa una limitata disponibilità di report tecnici relativi all’analisi di questa famiglia. Per questo motivo, il nostro obiettivo è quello di contribuire con una reportistica aggiornata, fornendo le ultime evidenze tecniche relative a DivulgeStealer.
L’infezione analizzata dal team ha origine da un documento Microsoft Word contenente una macro VBA malevola. All’apertura del file, la macro avvia la seconda fase dell’infezione, scaricando da un server remoto un archivio ZIP che contiene uno script Batch. Quest’ultimo viene estratto ed eseguito automaticamente.
Lo script è progettato per generare un eseguibile a partire da contenuti codificati al suo interno, completando così la terza e ultima fase della catena d’infezione.
L’eseguibile decodificato è stato, appunto, identificato come DivulgeStealer, un malware sviluppato in .NET, in grado di esfiltrare account Discord, credenziali dei browser e wallet di criptovalute, inviando le informazioni a un server Discord controllato dall’attaccante, utilizzato come canale di comando e controllo (C2).
Se desideri approfondire ecco il link al nostro report completo.
Inoltre, puoi registrarti alla mailing list specifica, per ricevere aggiornamenti sui prossimi report:
