Faisant l'objet d'une commercialisation sur le marché noir, le spyware Masad Stealer a pour particularité de s'appuyer sur Telegram comme canal de commande et de contrôle et pour l'exfiltration de données volées.
Ces données peuvent notamment être en lien avec le navigateur dont des informations sensibles enregistrées, des informations sur le système, des fichiers du Bureau, des fichiers Steam, sans compter des capteurs d'écran.
Masad Stealer a aussi une appétence pour des données de Discord et de Telegram, des fichiers FileZilla et peut télécharger d'autres malwares. Il remplace également les portefeuilles de cryptomonnaies dans le presse-papiers (des adresses présentes dans le presse-papiers) par ceux de cybercriminels.
Selon l'analyse de Juniper Threat Labs, pour se connecter au bot de commande et contrôle, Masad Stealer utilise un token codé en dur. Les données qu'il a recueillies sont compilées dans une archive zip grâce à l'utilitaire 7zip qui est intégré dans le binaire du malware.
Le malware a été compilé dans un exécutable Windows. D'après Juniper Threat Labs, les principaux vecteurs de propagation de Masad Stealer se font passer pour des outils légitimes ou se regroupent dans un outil tiers. Des imitations de CCleaner, ProxySwitcher, Whami et Galaxy Software Update par exemple.
Évidemment, cela passe par des forums, sites de téléchargement tiers ou des fichiers sur des sites de partage.
