第一个在线推广 Stealc 的论坛帖子 (SEKOIA)
根据宣传贴子的说法,除了网络浏览器数据、扩展程序和加密货币钱包的典型目标之外,Stealc 还有一个可定制的文件抓取器,可以设置为针对操作员希望窃取的任何文件类型。
在最初的帖子发布后,“Plymouth”开始在其他黑客论坛和私人 Telegram 频道上推广该恶意软件,向潜在客户提供测试样本。
卖家还建立了一个 Telegram 频道,专门发布 Stealc 的新版本更新日志,最新版本是 v1.3.0,于 2023 年 2 月 11 日发布。该恶意软件正在积极开发,每周都会在频道上出现一个新版本。
Plymouth 还表示,Stealc 并不是从头开发的,而是依赖于 Vidar、Raccoon、Mars 和 Redline 窃取器。
研究人员在 Stealc 和 Vidar、Raccoon 和 Mars 信息窃取者之间发现的一个共同点,它们都下载合法的第三方 DLL(例如 sqlite3.dll、nss3.dll)以帮助窃取敏感数据。
在今天的一份报告中,SEKOIA 研究人员指出,他们分析的其中一个样本的C2通信与 Vidar 和 Raccoon 信息窃取者的通信有相似之处。研究人员为 Stealc 发现了 40 多台 C2 服务器和数十个在野样本,表明这种新的恶意软件已经引起了网络犯罪团体的兴趣。
这种流行可能是由于可以访问管理面板的客户可以生成新的窃取样本,这增加了恶意软件泄露给更广泛受众的机会。SEKOIA 认为 Stealc 代表了一个重大威胁,因为它可能被技术水平较低的网络犯罪分子采用。
Stealc 的功能
Stealc 自 1 月份首次发布以来增加了新功能,包括随机化 C2 URL 的系统、更好的日志(被盗文件)搜索和分类系统,以及对乌克兰受害者的排除。
恶意软件开发里程碑 (SEKOIA)
SEKOIA 通过分析捕获的样本可以验证的特征如下:
仅 80KB 的轻量级构建使用合法的第三方 DLL用 C 编写并滥用 Windows API 函数大多数字符串都使用 RC4 和 base64 进行了混淆处理该恶意软件会自动泄露被盗数据它针对 22 个网络浏览器、75 个插件和 25 个桌面钱包SEKOIA 目前的报告不包括从逆向工程 Stealc 获得的所有数据,但提供了其执行主要步骤的概述。部署后,恶意软件会对其字符串进行去混淆处理并执行反分析检查,以确保它不会在虚拟环境或沙箱中运行。
接下来,它动态加载 WinAPI 函数并启动与 C2 服务器的通信,在第一条消息中发送受害者的硬件标识符和构建名称,并接收配置作为响应。
然后,Stealc 从目标浏览器、扩展程序和应用程序收集数据,如果处于活动状态,还会执行其自定义文件抓取程序,最后将所有内容泄露给 C2。完成此步骤后,恶意软件会从受感染主机中删除自身和下载的 DLL 文件,以清除感染痕迹。
研究人员观察到的一种分发方法是通过 YouTube 视频引导潜在目标下载安装流行软件的破解版本。一旦安装程序被执行,恶意软件就会开始其例行程序并与其服务器通信。安全专家建议用户避免安装盗版软件,只从官方开发者网站下载产品。
