专家警告说,一种新的信息窃取恶意软件已被观察到在黑暗网络中传播,因为它希望收集新的客户和受害者。SEKOIA的网络安全研究人员在不同的地下论坛和电报群中发现了多个广告,这些广告宣传一种名为Stealc的新信息窃取程序。
显然,Stealc不是从头开始构建的,而是对其他更流行的信息窃取程序的升级,例如Vidar、Racoon、Mars和RedlineStealer,这些窃取程序于2023年1月首次被发现,但在接下来的一个月获得了更多关注。
Stealc是由一个名为“普利茅斯”的威胁演员建造并正在宣传的。它目前的版本是1.3.0,并且似乎每周至少进行一次新的调整和升级。
一些新添加的功能包括C2URL随机化器,以及改进的日志搜索和排序系统。还看到Stealc放过了来自乌克兰的人。
在进一步分析信息窃取程序的样本后,SEKOIA发现它使用合法的第三方DLL,它是用C编写的并滥用WindowsAPI函数,它是轻量级的(只有80KB),它使用RC4和base64混淆了大部分字符串,并且它会自动泄露被盗文件(不需要威胁者采取任何行动)。
SEKOIA还发现Stealc能够从22个网络浏览器、75个插件和25个桌面钱包窃取数据。
除了在暗网上做广告外,普利茅斯还忙于将其部署到目标端点(在新标签页中打开).他们这样做的方法之一是创建关于如何破解软件的虚假YouTube教程,并在描述中提供一个链接,而不是广告中的破解,而是部署信息窃取程序。
到目前为止,已经发现了40多个C2服务器,这让研究人员得出结论,Stealc越来越受欢迎。他们推测,之所以流行,是因为可以访问管理面板的骗子可以轻松生成新的窃取样本,从而扩大其范围。
SEKOIA相信Stealc会变得非常流行,因为它也可以被低级黑客采用。