Stealc,一种新的高级信息窃取程序出现在威胁领域
2023 年 1 月,SEKOIA.IO的研究人员发现了一种名为Stealc的新型恶意软件。该恶意软件是由使用绰号Plymouth的恶意软件开发者开发并在暗网论坛上广为流传,他声称该恶意软件支持广泛的信息窃取功能。
据专家介绍,Stealc的开发依赖于Vidar、Raccoon、Mars和Redline。
2 月,专家们在网络上发现了数十个Stealc样本,它们显示出与Vidar和Raccoon的相似之处。
SEKOIA 确定了40多台Stealc C2服务器,这一情况证实了该恶意软件在分发恶意软件的网络犯罪分子中越来越受欢迎。
Stealc 能够从流行的网络浏览器、加密货币钱包的浏览器扩展、桌面加密货币钱包以及其他应用程序(如电子邮件和信使客户端)中窃取敏感数据。与其他窃取器不同,Stealc 实现了可定制的数据收集配置并支持可定制的文件抓取器。
攻击者可以定义一组抓取器规则来窃取与其匹配的特定文件。
Plymouth已经发布了多个版本的infostealer恶意软件,并在黑客论坛和专用Telegram频道上发布了更新日志。
专家观察到的最新变体是v1.3.0,于2023年2 月11日发布。
下表报告了Plymouth宣传的 Stealc 功能以及 SEKOIA.IO 观察到的样本中实现的功能。
| Stealc 特性,如 Plymouth 在 XSS 上所描述的 | SEKOIA.IO 基于新恶意软件家族样本的观察 |
| 在开发我们的解决方案时,我们依赖于 Vidar、Raccoon、Mars 和 RedLine | Stealc、Vidar、Raccoon 和 Mars 都下载合法的第三方 DLL(sqlite3.dll、nss3.dll 等)作为找到的样本。 |
| 当前构建重量 – 78kb | 独立示例大约为 80KB。 |
| stealc 是使用 WinAPI 用纯 C 语言编写的 | C 编写的恶意软件使用 WinAPI 函数。 |
| 所有功能都是动态加载的 | 一旦字符串被反混淆,恶意软件就会使用 GetProcAddress 和 LoadLibraryA 加载 WinAPI 函数。 |
| 导入表由来自 mscrt 的几个导入获取 | 导入地址表从MsvcrtDLL导入了6个函数。 |
| 所有的工作线都被混淆了。 | 所有字符串都使用 RC4 和 base64 进行了混淆,除了一些与新功能相关的字符串(更新 v1.1.2)。 |
| stealc 不会在客户端生成存档,每个要收集的文件都会在单独的请求中发送到服务器 | 该恶意软件逐个文件地泄露收集的数据,不等待接收所有配置来收集和发送数据。 |
| 超过 23 种支持的浏览器 | 根据 C2 发送的配置,该恶意软件针对 22 个浏览器。 |
| 超过 70 个网络插件 | 根据 C2 发送的配置,Stealc 针对 75 个插件。 |
| 超过 15 个桌面钱包 | 根据 C2 发送的配置,Stealc 瞄准了 25 个钱包。 |
| 电子邮件客户端 | 该示例从 Outlook 文件 ( \Outlook\accounts.txt ) 中收集数据,配置存储在混淆数据中。 |
| 在 stealc 更新 v1.1.2 中为脚本门 (api.php) 添加了随机名称生成 | 第一个示例在 /api.php 上进行通信并从 /libs/ 下载 DLL。最近的样本使用随机路径 ([a-f0-9]{16}) 进行数据渗漏和 DLL 下载。 |
| 在 stealc update v1.1.2 中将用户代理记录在 system_info.txt 文件中 | 恶意软件渗出受害者主机的用户代理。 |
| 在文件 system_info.txt 中记录 ip 和国家,在 stealc 更新 v1.1.2 | 受感染主机 (ISO) 的 IP 地址和国家被泄露给 C2。 |
一旦执行,该恶意软件将对其所有RC4加密和base64编码的字符串进行反混淆处理,并执行反虚拟化检查以避免在沙箱或虚拟环境中执行。
“恶意软件使用LoadLibrary和GetProcAddress动态加载不同的WinAPI函数,并启动与其 C2 服务器的通信”。
Stealc从受害者的浏览器、扩展程序和应用程序收集数据,如果处于活动状态,它还会窃取符合其抓取规则的文件。然后数据被泄露到C2,恶意软件从受感染的系统中删除自身和下载的DLL文件。
攻击者使用YouTube视频来分发恶意软件。这些视频提供了有关如何安装破解软件的说明以及指向下载站点的链接。受害者被诱骗从该站点下载带有恶意软件的软件。
SEKOIA发布了此威胁的IoC以及YARA和Suricata规则以检测信息窃取者
“Stealc 是另一种功能齐全的信息窃取程序,于2023年初出现在地下论坛上”总结报告上说:“然而,我们预计 Stealc 恶意软件将在短期内广泛传播,因为多个攻击者将恶意软件添加到他们的武器库中,同时它受到的监控却很少。面临风险的公司需要意识到这种恶意软件。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4251.html
