“Lo stealer è in grado di rubare una serie di informazioni dalle macchine Windows infette, compresi i dati delle credenziali dei browser e dei portafogli di criptovalute, i dettagli dei client FTP, le schermate, le informazioni di sistema e i file acquisiti”, hanno dichiarato i ricercatori di Uptycs Karthickkumar Kathiresan e Shilpesh Trivedi in un recente rapporto. I dettagli del malware sono stati documentati per la prima volta dal ricercatore di cybersicurezza Will Thomas (@BushidoToken) nel novembre 2022, interrogando il motore di ricerca IoT Shodan. Titan viene offerto come builder, consentendo ai clienti di personalizzare il binario del malware per includere funzionalità specifiche e il tipo di informazioni da esfiltrare dal computer della vittima. Il malware, al momento dell’esecuzione, impiega una tecnica nota come process hollowing per iniettare il payload dannoso nella memoria di un processo legittimo noto come AppLaunch.exe, che è l’utilità di avvio Microsoft .NET ClickOnce.
Alcuni dei principali browser web presi di mira da Titan Stealer includono Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera, Brave, Vivaldi, 7 Star Browser, Iridium Browser e altri. I portafogli di criptovalute individuati sono Armory, Atomic, Bytecoin, Coinomi, Edge Wallet, Ethereum, Exodus, Guarda, Jaxx Liberty e Zcash. È anche in grado di raccogliere l’elenco delle applicazioni installate sull’host compromesso e di catturare i dati associati all’app desktop Telegram. Le informazioni raccolte vengono successivamente trasmesse a un server remoto sotto il controllo dell’aggressore come file di archivio codificato Base64. Inoltre, il malware è dotato di un pannello web che consente agli avversari di accedere ai dati rubati. L’esatto modus operandi utilizzato per distribuire il malware non è ancora chiaro, ma tradizionalmente gli attori delle minacce hanno sfruttato una serie di metodi, come il phishing, gli annunci malevoli e il software craccato.
“Uno dei motivi principali per cui [gli attori delle minacce] potrebbero utilizzare Golang per il loro malware ruba-informazioni è che consente loro di creare facilmente malware multipiattaforma che possono essere eseguiti su più sistemi operativi, come Windows, Linux e macOS”, ha dichiarato Cyble nella sua analisi di Titan Stealer. “Inoltre, i file binari compilati da Go hanno dimensioni ridotte, il che li rende più difficili da rilevare dai software di sicurezza”. Questo sviluppo arriva poco più di due mesi dopo che SEKOIA ha descritto un altro malware basato su Go, denominato Aurora Stealer, utilizzato da diversi attori criminali nelle loro campagne. Il malware si propaga tipicamente attraverso siti web simili a quelli di software popolari, con gli stessi domini attivamente aggiornati per ospitare versioni troianizzate di diverse applicazioni. È stato inoltre osservato che sfrutta un metodo noto come padding per gonfiare artificialmente le dimensioni degli eseguibili fino a 260 MB aggiungendo dati casuali nel tentativo di eludere il rilevamento da parte dei software antivirus. Le scoperte arrivano anche a ridosso di una campagna di malware che ha visto Raccoon e Vidar utilizzare centinaia di siti web falsi mascherati da software e giochi legittimi come parte di una campagna almeno dal 2020. Team Cymru, in un’analisi pubblicata all’inizio di questo mese, ha osservato che “gli operatori di Vidar hanno diviso la loro infrastruttura in due parti: una dedicata ai clienti abituali e l’altra per il team di gestione e anche per gli utenti potenzialmente premium/importanti”.
