恶意软件 Stealc “横空出世”,窃密技术绝顶
发布时间:2023-02-27 10:13:52 所属栏目:安全 来源:
导读:Bleeping Computer 网站披露,暗网市场出现了一个名为 Stealc 的新恶意软件,由于这种大肆宣传加强了窃取互联网信息的能力,以及与 Vidar、Raccoon、Mars 和 Redline 等同类恶意软件具有相似性,获得行业内广泛关注。
|
Bleeping Computer 网站披露,暗网市场出现了一个名为 Stealc 的新恶意软件,由于这种大肆宣传加强了窃取互联网信息的能力,以及与 Vidar、Raccoon、Mars 和 Redline 等同类恶意软件具有相似性,获得行业内广泛关注。 Stealc 恶意软件在暗网上大肆推广 最早,一位名叫 Plymouth 的用户在黑客论坛上发布了大量有关 Stealc 的“广告”,宣称其是一种具有广泛数据窃取能力以及具有易使用管理面板的恶意软件。 从“广告”内容来看,Stealc 除了能针对网络浏览器数据、扩展程序和加密货币钱包等典型目标外,还有一个可定制化的文件抓取器,能够人为设置想要窃取的任意文件类型。 发布最初的“宣传广告”后,Plymouth 陆续在其它黑客论坛上大肆推广 Stealc 恶意软件,以期向潜在客户提供测试样本,达成交易。 某些帖子中,Plymouth 指出 Stealc 恶意软件并非从零开发,而是基于 Vidar、Raccoon、Mars 和 Redline 等恶意软件优化而来。研究人员对 Stealc 深入分析后发现,该恶意软件和 Vidar、Raccoon 和 Mars 等确实有相似之处,几者都是通过下载合法的第三方 DLL(如sqlite3.dll、nss3.dll),用这些来窃取受害者敏感数据或信息并且加以盗用是一种侵犯隐私权的行为。 SEKOIA 通过分析捕获的样本,发现 Stealc 的部分特征如下: 轻量级构架:只有 80KB 使用合法的第三方 DLLs 用 C 语言编写,滥用 Windows API 函数 大多数字符串用 RC4 和 base64 进行混淆 能够自动删除被盗数据 攻击目标:22 个网络浏览器、75 个插件和25 个桌面钱包。 部署过程中,Stealc 恶意软件会对自身字符串进行解密,并执行反分析检查,以确保其不会在虚拟环境或沙盒中运行。之后,立刻动态加载 WinAPI 函数并启动与 C2 服务器的通信,在第一条信息中发送受害者的硬件标识符和构建名称,并接收相应配置。 接下来,Stealc 开始从目标浏览器、扩展程序和应用程序中收集数据,如果处于激活状态,会执行其自定义文件抓取器,最后将所有内容导出到 C2。值得一提的是,窃密活动结束后,Stealc 会把自身和下载的DLL 文件从被感染的主机上删除,以清除入侵痕迹。 研究人员指出,这些下载的软件中嵌入了 Stealc 恶意软件,一旦用户安装程序,恶意软件就开始了“常规”工作,并迅速与其服务器进行通信。因此建议用户不要安装盗版软件,从官方网站下载产品。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐