È stato individuato un nuovo malware che ruba informazioni sensibili e può trasferire dati, oltre a disabilitare i programmi antivirus per rimanere attivo sui computer colpiti. I ricercatori di CYFIRMA hanno pubblicato un'analisi dettagliata di questo infostealer, chiamato Yunit Stealer.
Yunit Stealer utilizza JavaScript per integrare strumenti di utilità di sistema e crittografia, consentendo di svolgere operazioni come il recupero di informazioni di sistema, l'esecuzione di comandi e l'invio di richieste HTTP. Per mantenere la sua presenza, modifica il registro di sistema, aggiunge attività tramite script batch e VBScript, e imposta eccezioni in Windows Defender.
Rubare password e dati delle carte di credito
Yunit è un malware potente, capace di rubare dati di sistema, informazioni salvate nel browser (come password, cookie e dati di riempimento automatico) e dettagli dei portafogli di criptovalute. Può anche accedere ai dati delle carte di credito memorizzate nel browser.
Dopo aver raccolto queste informazioni, il malware le trasferisce tramite webhook di Discord o in un canale Telegram. Inoltre, le carica su un server remoto e genera un link di download per un accesso successivo. Questo link include schermate, permettendo all'attaccante di recuperare i dati mantenendo l'anonimato ed evitando di essere scoperto. L'accesso tramite comunicazioni crittografate offre un ulteriore vantaggio.
CYFIRMA ha evidenziato che Yunit è un'infiltrazione emergente che deve ancora dimostrare la sua efficacia. Il canale Telegram è stato creato il 31 agosto 2024 e ha solo 12 iscritti, mentre l'account Discord è attualmente inattivo.
