Salat Stealer 通过复杂的 C2 基础设施窃取浏览器凭据

Salat Stealer 已成为一种针对 Windows 端点的普遍威胁，重点是收集浏览器存储的凭据和加密货币钱包数据。

这种基于 Go 的信息窃取程序于 2025 年 8 月首次被发现，利用一系列规避策略（包括 UPX 打包和进程伪装）来绕过常规防御。

其运营商通过主流平台上的社会工程活动宣传恶意软件，宣传提供初始有效负载的虚假软件破解和游戏作弊。

执行后，Salat Stealer 会以 Lightshot.exe 和 Procmon.exe 等名称静默地将自己注入受信任的目录中，并与合法进程混合以避免怀疑。

Cyfirma 研究人员在最初发现该恶意软件后的几天内就发现了该恶意软件的多层方法。

该威胁同时使用注册表运行项和计划任务来保持持久性，以 RuntimeBroker 和 Lightshot 等名称创建条目，这些条目在登录时执行，并每三分钟重复一次，持续很长时间。

该二进制文件包含 UPX 4.1.0，其 7.999 的高熵值在运行时之前掩盖了其真实行为。

动态分析显示，子进程在熟悉的文件路径（例如 C：\Program Files （x86）\Windows NT\Lightshot.exe 下生成，这使得端点代理的检测更具挑战性。

Cyfirma 分析师指出，Salat Stealer 与其命令和控制 （C2） 基础设施的通信既有弹性又隐蔽。

初始联系使用发送到 IP 104.21.80.1 的大约 45 字节的轻量级 UDP 数据包，可能充当保持活动信标。

同时，窃取者建立一个加密的 HTTPS 通道来 salat.cn/salat，DNS 解析指向 172.67.194.254 和 104.21.60.88。

当此主域无法访问时，内置的 JavaScript 例程会从 sniff_domain_list.txt 中获取一个回退域列表（“webrat.in”、“webrat.top”等），通过调用 /alive.php 遍历每个域，直到找到用于重定向的活动面板。

Salat Stealer 的影响不仅限于简单的凭据盗窃，它还针对 MetaMask、Trust Wallet 和 Phantom 等加密货币钱包的浏览器扩展。

通过扫描 Chrome 扩展程序设置目录，恶意软件会提取助记词和私钥，使用户面临不可逆转的经济损失风险。

应用于桌面钱包应用程序（包括 Electrum、Exodus 和 Coinomi）的类似方法允许窃取者收集钱包数据库和配置文件。

在传输到 C2 面板之前，所有泄露的数据都会临时存储在随机文件名下的 Temp 文件夹中。

感染和持久性机制

Salat Stealer 的感染链始于一种社会工程诱饵，该诱饵说服受害者执行恶意存档。

启动后，可执行文件使用 UPX 自行解压，并立即生成伪装成合法实用程序的子进程。

持久化是通过双重机制实现的：注册表运行项和计划任务。

以下代码片段是 C2 面板中提供的“Defender Excluder”脚本模块的一部分，举例说明了恶意软件如何巩固其立足点：-

if (Get-Command Add-MpPreference -ErrorAction SilentlyContinue) {
  $ProgramFilesX86 = [System.Environment]::GetFolderPath("ProgramFilesX86")
  Add-MpPreference -ExclusionPath $ProgramFilesX86
  $AppData = [System.Environment]::GetFolderPath("ApplicationData")
  Add-MpPreference -ExclusionPath $AppData
  $LocalAppData = [System.Environment]::GetFolderPath("LocalApplicationData")
  Add-MpPreference -ExclusionPath $LocalAppData
}

该脚本悄悄地将关键目录添加到 Windows Defender 的排除列表中，确保不会扫描主有效负载及其辅助工具。

同时，名为 Lightshot 和 RuntimeBroker 的任务条目被配置为在每次登录时并按计划的时间间隔触发。

通过结合注册表和任务调度程序技术，Salat Stealer 可以维持长期访问和规避，展示了现代 MaaS作的日益复杂。