威胁行为者使用 Stealerium 恶意软件攻击教育机构

教育机构已成为与商品信息窃取者不断升级的斗争的主要目标。

Stealerium 于 2022 年首次作为 GitHub 上的开源项目出现，最初是“出于教育目的”发布的，但很快就引起了非法兴趣。

对手调整和增强了代码以创建变体（例如 Phantom Stealer 和 Warp Stealer），导致一系列信息窃取者共享大量代码重叠。

寻求一次性购买或免费下载的低复杂性行为者可以轻松使用这些工具，从而绕过恶意软件即服务产品的复杂性和成本。

早期的活动利用了标准的网络钓鱼诱饵——冒充银行、法院和慈善基金会——但最近教育部门的活动扩大了攻击面。

带有“课程注册截止日期”和“学生帐户暂停通知”等紧急主题行的电子邮件发送了压缩的可执行文件、JavaScript 和包含 Stealerium 有效负载的磁盘映像。

Proofpoint 分析师指出，2025 年 5 月至 7 月期间，针对大学和 K-12 网络的消息激增，每个活动的电子邮件数量从数百到数万封不等。

一旦执行，Stealerium 变体会立即建立持久性和侦察能力。PowerShell 脚本经常用于添加 Windows Defender 排除项，而计划任务可确保恶意软件在重新启动后继续存在。

此外，该恶意软件还执行一系列命令来枚举保存的 Wi-Fi 配置文件并扫描附近的无线网络，表明意图收集受感染主机的横向移动或地理定位的凭据。netsh wlan

Stealerium 对教育组织的影响是深远的。除了凭据盗窃之外，它还会窃取浏览器 cookie、信用卡数据、游戏会话令牌，甚至“NSFW”内容的网络摄像头快照——这可能会促进性勒索计划。

泄露渠道包括 SMTP 邮件附件、Discord Webhook、Telegram API 请求、GoFile 上传和鲜为人知的 Zulip 聊天服务。

教育 IT 团队报告了这些平台的异常出站流量，并报告了来自旨在检测 Stealerium 签入和数据泄露事件的新兴威胁规则的警报。

感染机制和持久性

Stealerium 的感染机制看似简单，但技术上却很强大。

在执行压缩的可执行文件或脚本时，恶意软件会生成一个 PowerShell 加载程序，该加载程序将 .基于 NET 的窃取程序有效负载检索并安装到用户 AppData 目录下的随机路径中（例如 ）。C:\Users\<user>\AppData\Local\<random_hex>\<username>@<hostname>_<locale>\

在此之后，加载程序调用主要的窃取者二进制文件，首先创建一个互斥锁以防止多个实例并执行反分析检查——验证用户名、GPU 模型、机器 GUID，甚至从公共 GitHub 存储库下载动态阻止列表以规避沙盒环境。

然后，窃取者使用从系统信息派生的 GUID 注册一个计划任务，确保在用户登录时或以随机时间间隔执行以逃避检测。

同时，PowerShell 脚本通过添加排除规则来禁用 Windows Defender 中的实时监控，从而有效地使终结点保护失明。

最后，Stealerium 启动了一个无头 Chrome 进程，其参数是直接从浏览器内存中提取 cookie、凭据和令牌——这是一种绕过标准加密和应用程序沙箱的高级技术。--remote-debugging-port

// Example of remote debugging invocation in Stealerium variants
ProcessStartInfo psi = new ProcessStartInfo()
{
    FileName = "chrome.exe",
    Arguments = "--headless --disable-gpu --remote-debugging-port=9222 https://example.com",
    CreateNoWindow = true,
    UseShellExecute = false
};
Process chrome = Process.Start(psi);

这种多阶段方法结合了随机分期、计划持久性、反分析检查和高级数据提取，使 Stealerium 成为对教育网络的强大威胁。

组织必须监控异常的 PowerShell Defender 排除项、异常计划任务以及与 Discord、Telegram、GoFile 和 Zulip 端点的网络连接，以有效检测和缓解这些攻击。