В 2025 году появился новый вредоносный инструмент Katz Stealer, работающий по модели Malware-as-a-Service (). Он сочетает агрессивные методы кражи учетных данных, снятие цифровых отпечатков системы и скрытые механизмы персистентности, а также использует загрузчики с функциями обхода защиты и исполнением кода в памяти. Распространяется через фишинговые кампании и поддельные загрузки ПО, а его архитектура ориентирована на максимальную скрытность, модульную доставку полезной нагрузки и быструю эксфильтрацию данных.
Katz Stealer способен извлекать сохраненные пароли, куки, токены сессий из браузеров на базе Chromium и Firefox, данные криптокошельков, учетные записи мессенджеров (Discord, Telegram), почтовые клиенты (Outlook, Foxmail), VPN- и FTP-данные, а также информацию из игровых аккаунтов (например, Steam). Малварь продается через веб-панель, позволяющую злоумышленникам генерировать кастомизированные сборки, настраивать методы обхода защиты и экспортировать украденные данные.
Цепочка заражения Katz Stealer включает несколько этапов. Начинается все с фишингового письма или поддельного ПО, содержащего JavaScript-дроппер с обфусцированным кодом. После запуска скрипт вызывает PowerShell для выполнения следующей стадии в памяти, избегая записи на диск. Затем .NET-загрузчик проверяет геолокацию и наличие песочницы, обходит UAC через уязвимость в cmstp.exe и внедряет основной модуль в процесс MSBuild.exe.
Один из ключевых методов кражи данных - внедрение в браузеры. Katz Stealer использует DLL-инъекции для доступа к паролям и кукам, обходя защиту Chromium (Application Bound Encryption) и извлекая мастер-ключи. Для Firefox малварь копирует файлы cookies.sqlite, logins.json и ключи шифрования.
Особенность Katz Stealer - встраивание бэкдора в Discord. Модифицируя файл app.asar, злоумышленники обеспечивают постоянный доступ к системе: при каждом запуске Discord загружает и исполняет вредоносный код с сервера.
Кроме того, малварь активно охотится за криптокошельками, сканируя файловую систему на наличие данных Exodus, Electrum, MetaMask и других. Собранная информация немедленно отправляется на C2-серверы, а следы деятельности удаляются.
Для защиты от Katz Stealer рекомендуется мониторить сетевую активность на предмет подозрительных User-Agent (например, содержащих "katz-ontop"), проверять процессы на наличие инъекций в MSBuild и Discord, а также блокировать известные .
Katz Stealer способен извлекать сохраненные пароли, куки, токены сессий из браузеров на базе Chromium и Firefox, данные криптокошельков, учетные записи мессенджеров (Discord, Telegram), почтовые клиенты (Outlook, Foxmail), VPN- и FTP-данные, а также информацию из игровых аккаунтов (например, Steam). Малварь продается через веб-панель, позволяющую злоумышленникам генерировать кастомизированные сборки, настраивать методы обхода защиты и экспортировать украденные данные.
Цепочка заражения Katz Stealer включает несколько этапов. Начинается все с фишингового письма или поддельного ПО, содержащего JavaScript-дроппер с обфусцированным кодом. После запуска скрипт вызывает PowerShell для выполнения следующей стадии в памяти, избегая записи на диск. Затем .NET-загрузчик проверяет геолокацию и наличие песочницы, обходит UAC через уязвимость в cmstp.exe и внедряет основной модуль в процесс MSBuild.exe.
Один из ключевых методов кражи данных - внедрение в браузеры. Katz Stealer использует DLL-инъекции для доступа к паролям и кукам, обходя защиту Chromium (Application Bound Encryption) и извлекая мастер-ключи. Для Firefox малварь копирует файлы cookies.sqlite, logins.json и ключи шифрования.
Особенность Katz Stealer - встраивание бэкдора в Discord. Модифицируя файл app.asar, злоумышленники обеспечивают постоянный доступ к системе: при каждом запуске Discord загружает и исполняет вредоносный код с сервера.
Кроме того, малварь активно охотится за криптокошельками, сканируя файловую систему на наличие данных Exodus, Electrum, MetaMask и других. Собранная информация немедленно отправляется на C2-серверы, а следы деятельности удаляются.
Для защиты от Katz Stealer рекомендуется мониторить сетевую активность на предмет подозрительных User-Agent (например, содержащих "katz-ontop"), проверять процессы на наличие инъекций в MSBuild и Discord, а также блокировать известные .
