暗网论坛“Crackingx”的用户名“10cker”的新人提供了用Rust编程语言编写的复杂信息窃取程序的源代码,引起了轰动。
这篇帖子立即引起了人们的关注,它概述了该信息窃取程序的功能以及其700美元的要价,并且只提供给一名买家。
该窃取者具有“10cker”详细介绍的一系列功能。它旨在从 Google Chrome、Edge 和 Brave 等流行浏览器中提取保存的密码。此外,它还可以定位来自 Telegram 和 Discord 等消息平台的文件以及其他文档文件。
为了保持隐蔽性,窃取者配备了隐藏的控制台和自动启动功能。值得注意的是,它还可以通过打开各种程序(包括图像和文档)来模仿用户行为,以避免引起怀疑。
暗网上新的基于 Rust 的信息窃取程序
为了证实这些说法,“10cker”以 Telegram ID 和 Vimeo 链接的形式提供了支持证据,表明窃取者即使通过更新的 Windows 安全协议也能够逃避检测。
网络威胁情报分析师Reza Abasi对此事发表了看法,他强调“10cker”甚至在“Jotti 的恶意软件扫描”网站上共享窃取者的文件,以证明其对多种防病毒程序(包括“F-Secure”、 ”“Bitdefender”和“卡巴斯基”。
有趣的是,另一个地下论坛“ breachforums ”上也出现了类似的帖子,暗示“Shnz”和“10cker”之间可能存在联系,要么是开发这种强大的信息窃取程序的同一个人,要么是合作者。
“10cker”在 Crackingx 论坛上发布的帖子写道:“Stealer 源代码是用 Rust FUD 编写的。出售窃取者源代码。如果你想使用CnC服务器我可以免费配置它。或者您可以通过电子邮件接收;这是你的选择。浏览器:Google Chrome、Edge、Brave 已保存密码。文件:Telegram、Discord 和其他文档文件。隐藏控制台+自动启动。”
市场上的更多信息窃取者
最近,在类似的情况下,Cyble 研究与情报实验室 (CRIL) 报告了市场上的一种新的信息窃取程序,可能是现已关闭的 ObserverStealer 的改进版本。恶意软件即服务 (MaaS)“Asuka Stealer”是在俄罗斯网络犯罪论坛上发现的,其 0.9.7 版本的售价为 80 美元/月。
该恶意软件最初于 2024 年 1 月 24 日在另一个论坛上发布广告,其目标是浏览器数据、Discord 和 Telegram 会话、加密钱包、屏幕截图以及 Steam 桌面身份验证器中的文件。值得注意的功能包括浏览器的可自定义设置、文件抓取和进程捕获。该恶意软件与 ObserverStealer 有相似之处,表明它是一个改进版本。
同样,上个月,暗网上也记录到了类似的信息窃取者。其背后的威胁行为者被称为Atomic Stealer (AMOS),他们使用伪装成流行 Mac 应用程序的网络钓鱼网站来分发信息窃取程序。截至分析发布时,这些欺骗性网站仍在运行。AMOS 不断更新,展示了开发人员致力于增强其恶意功能的决心。
此外,暗网市场中出现了Meduza Stealer 恶意软件 版本 (2.2) 的新版本,也具有较大的竞争力。
什么是信息窃取者?
信息窃取程序或信息窃取程序是一种恶意软件,旨在从受害者的系统中窃取敏感数据,例如登录凭据、财务信息和个人详细信息。这些被盗数据经常在暗网上出售用于非法目的。
信息窃取者跨Windows 和 Linux等平台运行,旨在绕过多重身份验证并获取对用户帐户的访问权限。它们通常通过网络钓鱼电子邮件、键盘记录、数据泄露以及受感染的软件或硬件进行传播。著名的例子包括 Redline、Vidar 和 Raccoon 信息窃取者。
为了降低风险,用户应该扫描电子邮件附件,使用端点检测解决方案,并避免从不受信任的来源下载。对策还包括更新软件、使用密码管理器以及实施电子邮件验证系统。
建议定期备份、网络分段和应用程序白名单,以尽量减少潜在攻击的影响。杀毒软件可以帮助检测和消除信息窃取者。