截至目前,Stealc恶意软件仅针对Windows设备,并从浏览器、加密货币钱包、即时通讯软件和电子邮件客户端窃取数据。
Sekoia的网络安全研究人员发布了名为Stealc的新型信息窃取恶意软件的详细信息,该恶意软件已出现在多个地下黑客论坛和暗网上。
据研究人员称,使用别名“Plymouth”的威胁行为者开发了该恶意软件,并在暗网上为其做广告。这个恶意软件与以往的恶意软件不同,因为它同时从受害者和客户那里窃取数据。它还在Telegram频道上进行推广。
威胁行为者表示,Stealc目前的版本为1.3.0,是功能齐全且随时可用的恶意软件。它不是从头开始构建的,而是基于其他流行的信息窃取恶意软件,如Racoon、Vidar和Redline Stealer。这个恶意软件是不同的,因为它同时从受害者和客户那里窃取数据。它还在Telegram频道上推广。
它是如何工作的?
在目标电脑上安装后,该恶意软件会启动反分析检查,以确保它没有在沙箱或虚拟环境中运行。它加载了Windows API函数并与C2中心建立连接。它发送攻击者的硬件标识符和设备构建名称,之后恶意软件接收命令。
根据Sekoia的博客文章,这时恶意软件开始从浏览器、扩展程序和应用程序中收集数据,并执行其文件抓取程序,将所有文件拖取到C2服务器上。一旦整个数据被盗完,Stealc就会自我销毁,下载的DLL文件也会从设备中删除,以避免被发现。
Stealc的功能
Stealc的一些功能包括一个C2中心的URL随机器和一个先进的日志排序和搜索系统。此外,该恶意软件会保护来自乌克兰的受害者,使用合法的第三方DLL,并滥用WindowsAPI函数。它是用C语言编写的,无需攻击者的任何干预即可自动拖取数据据。
该恶意软件可以针对75个插件、22个浏览器和25个桌面钱包。此外,它可以使用base64和RC4隐藏其大部分字符串。
Stealc在网络犯罪分子中很受欢迎
除了在暗网上做广告外,威胁行为者还通过创建有关破解软件的虚假YouTube教程在目标端点部署恶意软件。或者通过在描述中提供链接,部署信息窃取器而不是提供破解软件。
研究人员发现了40多个C2服务器,这使他们得出结论,Stealc正在迅速获得关注。因此,确保您的安全软件定期更新,并避免从可疑或未经授权的来源下载和安装软件至关重要。此外,切勿打开来源不明的链接或附件。