CYFIRMA的网络安全研究团队最近在暗网上发现了一种高级信息窃取程序,称为“WISE REMOTE Stealer”,它既充当窃取程序又充当远程访问木马 (RAT)。这款作为服务使用的恶意软件(MaaS,恶意软件即服务)可以打开对计算机的远程访问,将其转变为DDoS机器人并进行勒索。
该服务基于多功能恶意软件,自六月初以来已在黑客论坛(HF、cracked.io)上推广。WISE REMOTE Stealer的所有者正在不断改进完善它的功能,为了扩大用户群,他们还在Discord和Telegram中发布了有效性证据,演示攻击已经收集了超过1000名受害者。
在2023年6月的最初几周内,WISE REMOTE Stealer的出现因其引人注目的特性、功能和具有竞争力的价格而在著名的地下论坛中引起了极大的兴趣。为了建立可信度,窃取者经历了一个测试阶段,论坛的知名资深人士都参与其中,他们验证了其功效,并按照在地下社区引入新工具时的惯例,为后续改进提供了宝贵的反馈。
该恶意软件是用Go编写的,尽管开发人员也使用C++、C#和Python。WISE REMOTE Stealer的主要目标是Windows系统(版本8、10和11)。使用各种技巧来绕过防病毒软件,与C2服务器(位于瑞士)的通信受到加密保护。
客户端模块通过云端导入,窃取的数据被写入磁盘(在/temp文件夹中),并在发送后删除。提供给订阅者的生成器允许您自定义图标(以适应所选的恶意软件分发和感染链方法),最终组件的大小通常不超过100KB。
WISE REMOTE Stealer目前具有以下功能:
- 系统信息的收集;创建一个反向shell;
- 加载并运行附加文件;
- 从浏览器中提取信息(保存的密码、cookie、银行卡数据、书签、浏览历史记录、扩展程序列表);
- 窃取加密钱包中的数据;
- 在受害者不知情的情况下打开网站并与之互动;
- 创建屏幕截图;
- 上传文件到AppData文件夹;
- 创建和定制恶意代理或模块以对所选目标进行攻击;
- 更改系统日志、删除条目以隐藏恶意活动。
该服务提供的后台控制面板允许您监控多达10000台受感染的计算机。操作员还可以发出一般命令,例如进行DDoS攻击或执行其他恶意操作。