MicroStealer - nova infostealer pretnja aktivno napada telekomunikacijski i obrazovni sektor
MicroStealer infostealer aktivno napada telekomunikacijski i obrazovni sektor koristeći socijaalno inženjerstvo i maskiranje kao legitimne aplikacije.
Šta se desilo?
Istraživači su otkrili novu malver porodicu nazvanu MicroStealer koja se od decembra 2025. godine aktivno koristi u napadima. Ova infostealer malver se brzo širi kroz okruženja za analizu i показује zapaljivu sposobnost da izbegne detekciju tradicionalnih sigurnosnih alata dok ciljano napada organizacije u telekomunikacijskom i obrazovnom sektoru.
Koga pogađa?
Primarno su ugrožene organizacije u telekomunikacijskom i obrazovnom sektoru, iako analize pokazuju povećanu aktivnost i u drugim regijama. Posebno su izložene kompilacije koje upravljaju velikim brojem korisničkih naloga i osjetljivih podataka. Prema istraživanju, najveća koncentracija napada potječe iz Sjedinjenih Američkih Država i Nemačke.
Kako se zaštititi?
- Implementirajte endpointi-orijentisanu detekciju zasnovannu na ponašanju malvera
- Prisilite upotrebu višefaktorske autentifikacije sa otpornim metodama na phishing napade
- Primijenite princip najmanje privilegije na svim korisničkim nalozima
- Pratite neobične procese - posebno Java i Electron aplikacije
- Nadzujte odlazni saobraćaj prema Discord webhook endpointf-ima
- Budite oprezni prema novim domenama bez prethodne reputacije
- Redovno obučavajte zaposlene o socijalnom inženjerstvu i opasnostima preuzimanja datoteka
Tehnički detalji
MicroStealer koristi četverostepenu lanac izvršavanja koji počinje sa NSIS instalatorom. Vanjski sloj je standardni NSIS installer koji tiho raspakuje Electron aplikaciju maskira kao "Game Launcher". Aplikacija zahteva UAC dozvole i ekstrahuje upakovanu Java Runtime Environment i JAR payload u %LOCALAPPDATA% direktorijum. Java izvršivi fajl je preimenovan u "miicrosoft.exe" kako bi se oponašao legitimni Windows proces. Obfuskovan Node.js skript pokreće JAR fajl (soft.jar) u pozadinskom procesu koji prvo proverava prisustvo virtualne mašine. Ako se aktivira na stvarnom korisnički kompjuteru, kradeza kredencijale, kolačiće, tokene sesije, snimke ekrana i datoteke digitalnih novčanika. Ukradeni podaci se šalju kroz dva kanala istovremeno - Discord webhook i napadačev server - što osigurava da podaci stigne čak i ako jedan kanal bude onemogućen.
Preporuka Sajber Radara
Organizacije koje rade sa osjetljivim podacima moraju neodložno implementirati preporuke o zaštiti. Ključna je kombinacija tehnijskih kontrola (detekcija ponašanja, MFA) i prikupljanja svijesti zaposlenih o opasnostima preuzimanja datoteka iz nepouzdanih izvora. Redovni pregledi sigurnosnih incidenta mogu značajno smanjiti rizik od inficiranja.
