QuasarStealer
Модуль похитителя учетных данных на основе QuasarRAT. Он использует ChromiumDecryptor+DecryptAesGcm для Chrome/Edge/Brave, FFFecryptor+PK11SDR_Decrypt для Firefox и YandexPassReader для Яндекса. Также извлекаются пароли FTP-клиентов FileZilla и WinSCP. Временная метка PE устарела из будущего (метод защиты от песочницы). Он основан на клиенте с открытым исходным кодом QuasarRAT.
Профиль угрозы
Тип
Infostealer
Язык программированияC#/.NET
C2 ПротоколHTTP
Первое обнаружение2025
Цели
Kuresel
Назначение / Возможности
- Кража учетных данных/FTP
Для этого семейства пока не обнаружено C2-серверов.
Исследовательские отчёты (1)
QuasarStealer 2e6fbd14 -- QuasarRAT ChromePassReader EdgePassReader BravePassReader FirefoxPK11SDR YandexPassReader FileZilla WinSCP ChromiumDecryptor DecryptAesGcm | Yuksek
QuasarStealer 2e6fbd14 PE32 59KB. Quasar.Client.Recovery.FtpClients. Chrome/Edge/Brave/Firefox/Yandex sifre hırsızı. FileZilla+WinSCP FTP. DecryptAesGcm+PK11SDR_Decrypt.
Читать отчёт →