网络安全领域出现了一种复杂的基于 Python 的新型信息窃取程序,展示了通过 Discord 渠道泄露数据的先进功能。
该恶意软件被称为“Inf0s3c Stealer”,代表了数据盗窃工具领域的重大演变,将传统系统侦察技术与现代通信平台相结合,以避免检测,同时有效地从受感染的 Windows 系统中收集敏感信息。
该恶意软件作为一个综合抓取器运行,旨在系统地从受感染的计算机收集主机标识符、CPU 信息、网络配置和用户数据。
执行后,它会通过命令提示符静默调用多个 PowerShell 命令来收集大量系统详细信息,从而创建受害者环境的详细配置文件。
该窃取者针对广泛的敏感信息,包括 Discord 帐户、浏览器凭据、cookie、浏览历史记录、加密货币钱包、Wi-Fi 密码以及来自 Steam、Epic Games 和 Minecraft 等流行服务的游戏平台会话。
Cyfirma 研究人员发现,该恶意软件展示了复杂的打包和混淆技术,利用 UPX 压缩和 PyInstaller 捆绑来逃避检测。
6.8MB 的可执行文件保持 8.000 的高熵值,表明打包量很大,从静态分析工具中掩盖了其真正的功能。
在执行过程中,恶意软件会在 Windows %temp% 文件夹中创建临时目录,系统地将被盗数据组织到分类子目录中,例如“凭据”、“目录”和“系统”,然后再编译成受密码保护的存档。
窃取者的主要创新在于其通过 Discord 渠道的自动泄露机制,将收集到的数据作为标记为“Blank Grabber”的压缩 RAR 档案传输。
这种方法利用合法的通信基础设施将恶意流量与正常用户活动混合在一起,从而显着降低网络监控系统检测到的可能性。
高级持久性和规避机制
Inf0s3c Stealer 采用复杂的持久性策略来确保长期系统受到损害。
该恶意软件将自身复制到 Windows 启动文件夹中,以 .scr 扩展名伪装成屏幕保护程序文件。
此技术是通过面向系统范围启动目录的函数实现的:-PutInStartup()
def PutInStartup() -> str:
STARTUPDIR = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp"
file, isExecutable = Utility.GetS```()
if isExecutable:
out = os.path.join(STARTUPDIR, "{}.scr".format(Utility.GetRandomString(invisible=True)))
os.makedirs(STARTUPDIR, exist_ok=True)
try: shutil.copy(file, out)
except Exception: return None
return out该恶意软件包含多种反分析功能,包括反 VM 检查和阻止防病毒相关网站的能力。
它可以通过“熔化”功能在执行后进行自我删除,留下最少的取证痕迹。
此外,该窃取程序还包括一个“泵存根”功能,旨在人为地扩大文件大小,从而可能绕过安全解决方案采用的基于大小的检测启发式方法。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
