Bleeping Computer 網(wǎng)站披露，暗網(wǎng)市場出現(xiàn)了一個(gè)名為 Stealc 的新惡意軟件，由于大肆宣傳竊取信息的能力，以及與 Vidar、Raccoon、Mars 和 Redline 等同類惡意軟件具有相似性，獲得行業(yè)內(nèi)廣泛關(guān)注。

據(jù)悉，2023 年 1 月，網(wǎng)絡(luò)威脅情報(bào)公司 SEKOIA 安全研究人員首次發(fā)現(xiàn)了 Stealc ，一個(gè)月后，觀察到該惡意軟件開始進(jìn)行惡意活動(dòng)。

Stealc 惡意軟件在暗網(wǎng)上大肆推廣

最早，一位名叫 Plymouth 的用戶在黑客論壇上發(fā)布了大量有關(guān) Stealc 的“廣告”，宣稱其是一種具有廣泛數(shù)據(jù)竊取能力以及具有易使用管理面板的惡意軟件。

暗網(wǎng)上宣傳 Stealc 的帖子 (SEKOIA)

從“廣告”內(nèi)容來看，Stealc 除了能針對網(wǎng)絡(luò)瀏覽器數(shù)據(jù)、擴(kuò)展程序和加密貨幣錢包等典型目標(biāo)外，還有一個(gè)可定制化的文件抓取器，能夠人為設(shè)置想要竊取的任意文件類型。

發(fā)布最初的“宣傳廣告”后，Plymouth 陸續(xù)在其它黑客論壇上大肆推廣 Stealc 惡意軟件，以期向潛在客戶提供測試樣本，達(dá)成交易。

此外，Plymouth 還特地建立一個(gè) Telegram 頻道，專門發(fā)布 Stealc 新版本的更新日志（最新版本為 V1.3.0，于 2023 年 2 月 11 日發(fā)布），需要警惕的是，該惡意軟件正在瘋狂迭代中，幾乎每周都會(huì)推出更新版本。

某些帖子中，Plymouth 指出 Stealc 惡意軟件并非從零開發(fā)，而是基于 Vidar、Raccoon、Mars 和 Redline 等惡意軟件優(yōu)化而來。研究人員對 Stealc 深入分析后發(fā)現(xiàn)，該惡意軟件和 Vidar、Raccoon 和 Mars 等確實(shí)有相似之處，幾者都是通過下載合法的第三方 DLL（如sqlite3.dll、nss3.dll），來竊取受害者敏感數(shù)據(jù)。

Stealc 的功能

今年 1 月首次發(fā)布以來，Stealc 更新了許多功能，其中包括隨機(jī)化 C2  URL 的系統(tǒng)、更好的日志（被盜文件）搜索和排序系統(tǒng)，以及烏克蘭受害者自動(dòng)排除系統(tǒng)。

惡意軟件開發(fā)時(shí)間線（SEKOIA）

SEKOIA 通過分析捕獲的樣本，發(fā)現(xiàn) Stealc 的部分特征如下：

• 輕量級(jí)構(gòu)建：只有 80KB
• 使用合法的第三方 DLLs
• 用 C 語言編寫，濫用 Windows API 函數(shù)
• 大多數(shù)字符串用 RC4 和 base64 進(jìn)行混淆
• 能夠自動(dòng)滲出被盜數(shù)據(jù)
• 攻擊目標(biāo)：22 個(gè)網(wǎng)絡(luò)瀏覽器、75 個(gè)插件和 25 個(gè)桌面錢包。

部署過程中，Stealc 惡意軟件會(huì)對自身字符串進(jìn)行解密，并執(zhí)行反分析檢查，以確保其不會(huì)在虛擬環(huán)境或沙盒中運(yùn)行。之后，立刻動(dòng)態(tài)加載 WinAPI 函數(shù)并啟動(dòng)與 C2 服務(wù)器的通信，在第一條信息中發(fā)送受害者的硬件標(biāo)識(shí)符和構(gòu)建名稱，并接收響應(yīng)配置。

目標(biāo)瀏覽器的配置指令（SEKOIA）

接下來，Stealc 開始從目標(biāo)瀏覽器、擴(kuò)展程序和應(yīng)用程序中收集數(shù)據(jù)，如果處于激活狀態(tài)，會(huì)執(zhí)行其自定義文件抓取器，最后將所有內(nèi)容導(dǎo)出到 C2。值得一提的是，竊密活動(dòng)結(jié)束后，Stealc 會(huì)把自身和下載的DLL 文件從被感染的主機(jī)上刪除，以清除入侵痕跡。

研究人員觀察到 Stealc 其中之一的傳播方式是通過 YouTube，這些視頻描述如何安裝破解軟件并鏈接到下載網(wǎng)站。

最后，研究人員指出，這些下載的軟件中嵌入了 Stealc 惡意軟件，一旦用戶安裝程序，惡意軟件就開始了“常規(guī)”工作，并迅速與其服務(wù)器進(jìn)行通信。因此建議用戶不要安裝盜版軟件，從官方網(wǎng)站下載產(chǎn)品。