Bleeping Computer 網站披露，暗網市場出現了一個名為 Stealc 的新惡意軟件，由于大肆宣傳竊取信息的能力，以及與 Vidar、Raccoon、Mars 和 Redline 等同類惡意軟件具有相似性，獲得行業(yè)內廣泛關注。

據悉，2023 年 1 月，網絡威脅情報公司 SEKOIA 安全研究人員首次發(fā)現了 Stealc ，一個月后，觀察到該惡意軟件開始進行惡意活動。

Stealc 惡意軟件在暗網上大肆推廣

最早，一位名叫 Plymouth 的用戶在黑客論壇上發(fā)布了大量有關 Stealc 的“廣告”，宣稱其是一種具有廣泛數據竊取能力以及具有易使用管理面板的惡意軟件。

暗網上宣傳 Stealc 的帖子 (SEKOIA)

從“廣告”內容來看，Stealc 除了能針對網絡瀏覽器數據、擴展程序和加密貨幣錢包等典型目標外，還有一個可定制化的文件抓取器，能夠人為設置想要竊取的任意文件類型。

發(fā)布最初的“宣傳廣告”后，Plymouth 陸續(xù)在其它黑客論壇上大肆推廣 Stealc 惡意軟件，以期向潛在客戶提供測試樣本，達成交易。

此外，Plymouth 還特地建立一個 Telegram 頻道，專門發(fā)布 Stealc 新版本的更新日志（最新版本為 V1.3.0，于 2023 年 2 月 11 日發(fā)布），需要警惕的是，該惡意軟件正在瘋狂迭代中，幾乎每周都會推出更新版本。

某些帖子中，Plymouth 指出 Stealc 惡意軟件并非從零開發(fā)，而是基于 Vidar、Raccoon、Mars 和 Redline 等惡意軟件優(yōu)化而來。研究人員對 Stealc 深入分析后發(fā)現，該惡意軟件和 Vidar、Raccoon 和 Mars 等確實有相似之處，幾者都是通過下載合法的第三方 DLL（如sqlite3.dll、nss3.dll），來竊取受害者敏感數據。

Stealc 的功能

今年 1 月首次發(fā)布以來，Stealc 更新了許多功能，其中包括隨機化 C2  URL 的系統、更好的日志（被盜文件）搜索和排序系統，以及烏克蘭受害者自動排除系統。

惡意軟件開發(fā)時間線（SEKOIA）

SEKOIA 通過分析捕獲的樣本，發(fā)現 Stealc 的部分特征如下：

• 輕量級構建：只有 80KB
• 使用合法的第三方 DLLs
• 用 C 語言編寫，濫用 Windows API 函數
• 大多數字符串用 RC4 和 base64 進行混淆
• 能夠自動滲出被盜數據
• 攻擊目標：22 個網絡瀏覽器、75 個插件和 25 個桌面錢包。

部署過程中，Stealc 惡意軟件會對自身字符串進行解密，并執(zhí)行反分析檢查，以確保其不會在虛擬環(huán)境或沙盒中運行。之后，立刻動態(tài)加載 WinAPI 函數并啟動與 C2 服務器的通信，在第一條信息中發(fā)送受害者的硬件標識符和構建名稱，并接收響應配置。

目標瀏覽器的配置指令（SEKOIA）

接下來，Stealc 開始從目標瀏覽器、擴展程序和應用程序中收集數據，如果處于激活狀態(tài)，會執(zhí)行其自定義文件抓取器，最后將所有內容導出到 C2。值得一提的是，竊密活動結束后，Stealc 會把自身和下載的DLL 文件從被感染的主機上刪除，以清除入侵痕跡。

研究人員觀察到 Stealc 其中之一的傳播方式是通過 YouTube，這些視頻描述如何安裝破解軟件并鏈接到下載網站。

最后，研究人員指出，這些下載的軟件中嵌入了 Stealc 惡意軟件，一旦用戶安裝程序，惡意軟件就開始了“常規(guī)”工作，并迅速與其服務器進行通信。因此建議用戶不要安裝盜版軟件，從官方網站下載產品。