BleepingComputer网站披露,一款名为Stealc的新型恶意软件出现在暗网市场,原因是其窃取信息能力的炒作,以及与Vidar、Raccoon、Mars与Redline等类似恶意软件的相似性引起了业界的广泛关注。据悉,2023年1月,网络威胁情报公司SEKOIA的安全研究人员首次发现了Stealc,一个月后,该恶意软件被观察到开始恶意活动。Stealc恶意软件在暗网上流行最早,一个名叫Plymouth的用户在黑客论坛上发布了大量关于Stealc的“广告”,声称它是一款具有广泛的数据窃取功能和易于使用的管理面板的恶意软件。.在暗网上推广Stealc的帖子(SEKOIA)从“广告”的内容来看,Stealc不仅可以针对网络浏览器数据、扩展程序和加密货币钱包等典型目标,而且还有一个可自定义的文件抓取器,可以人为设置窃取任意文件类型。在发布最初的“广告”后,Plymouth继续在其他黑客论坛上推广Stealc恶意软件,希望向潜在客户提供测试样本并达成交易。此外,普利茅斯还专门设立了一个Telegram频道,发布Stealc新版本的更新日志(最新版本为V1.3.0,2023年2月11日发布)。需要警惕的是,该恶意软件正在疯狂迭代,几乎每周都会推出新版本。在一些帖子中,Plymouth指出Stealc恶意软件并非从头开发,而是基于Vidar、Raccoon、Mars和Redline等恶意软件进行了优化。通过对Stealc的深入分析,研究人员发现该恶意软件与Vidar、Raccoon、Mars有相似之处,均通过下载合法的第三方DLL(如sqlite3.dll、nss3.dll)来窃取受害者文件。或敏感数据。Stealc的功能自今年1月首次发布以来,Stealc已更新了许多功能,包括随机化C2URL的系统、更好的日志(被盗文件)搜索和分类系统以及自动乌克兰受害者排除系统。恶意软件开发时间线(SEKOIA)SEKOIA通过分析捕获的样本发现了Stealc的一些特征,如下所示:轻量级构建:仅80KB的C语言编写,使用合法的第三方DLL,滥用WindowsAPI函数大多数字符串是用RC4编写的针对目标的被盗数据:22个网络浏览器、75个插件和25个桌面钱包。在部署期间,Stealc恶意软件会解密自己的字符串并执行反分析检查,以确保它没有在虚拟环境或沙箱中运行。紧接着,动态加载WinAPI函数并启动与C2服务器的通信,在第一条消息中发送受害者的硬件标识符和构建名称,并接收配置作为响应。目标浏览器(SEKOIA)的配置说明接下来,Stealc开始从目标浏览器、扩展程序和应用程序收集数据,如果激活,则执行其自定义文件抓取器,最后将所有内容导出到C2。值得一提的是,在窃取活动结束后,Stealc会删除自身和被感染主机下载的DLL文件,以消除入侵痕迹。研究人员观察到Stealc传播的方式之一是通过YouTube,其中的视频描述了如何安装破解软件并链接到下载站点。最后,研究人员指出,这些下载的软件中嵌入了Stealc恶意软件,一旦用户安装了该程序,恶意软件就会开始“正常”工作,并迅速与其服务器进行通信。因此,建议用户不要安装盗版软件和从官方网站下载产品。
