2 月 23 日消息，網(wǎng)絡(luò)威脅情報(bào)公司 SEKOIA 在最新報(bào)告中指出，今年 1 月在暗網(wǎng)上發(fā)現(xiàn)了名為 Stealc 的新型信息竊取程序，其竊取能力和 Vidar、Raccoon、Mars 和 Redline 等同類惡意軟件相似，但功能更加強(qiáng)大。

網(wǎng)名為“Plymouth”的用戶在黑客論壇上兜售 Stealc，稱其具備廣泛的數(shù)據(jù)竊取功能和易于使用的管理面板。

Stealc 除了竊取網(wǎng)絡(luò)瀏覽器數(shù)據(jù)、擴(kuò)展程序和加密貨幣錢包之外，還可以定制文件抓取器，根據(jù)攻擊者需求竊取任何類型的文件內(nèi)容。

賣家還建立了一個 Telegram 頻道，專門發(fā)布 Stealc 的新版本更新日志，最新版本是 2023 年 2 月 11 日發(fā)布的 v1.3.0。該惡意軟件正在積極開發(fā)，每周都會在頻道上出現(xiàn)一個新版本。

Plymouth 在帖子中表示，Stealc 并不是從頭開發(fā)的，而是基于 Vidar、Raccoon、Mars 和 Redline 竊取器進(jìn)行優(yōu)化。

研究人員已經(jīng)發(fā)現(xiàn)了 40 多臺被 Stealc 入侵的 C2 服務(wù)器，并有數(shù)十個樣本表明攻擊者已經(jīng)開始發(fā)起攻擊。這表明這種新的惡意軟件已經(jīng)引起了網(wǎng)絡(luò)犯罪團(tuán)體的興趣。

附 Stealc 的主要特征如下：

• 體積僅 80KB，輕量級構(gòu)建

• 使用合法的第三方 DLL

• 用 C 語言編寫并濫用 Windows API 函數(shù)

• 大多數(shù)字符串都使用 RC4 和 base64 進(jìn)行了混淆處理

• 該惡意軟件會自動竊取數(shù)據(jù)

• 已對 22 款網(wǎng)頁瀏覽器、75 款插件和 25 個桌面錢包發(fā)起攻擊