这里有偷窃者，那里有偷窃者，到处都有偷窃者！

信息窃取程序由网络犯罪分子积极分发，用于收集凭据，然后在暗网上出售或用于后续网络攻击。其中一些可以通过按月订阅模式获得，从而吸引新手网络犯罪分子。根据卡巴斯基数字足迹情报的数据，2023 年有近 1000 万台个人和企业设备受到信息窃取者的攻击。也就是说，被攻击设备的真实数量可能更高，因为并非所有窃取者运营商在窃取数据后立即发布所有日志。

今年，我们分析了不少以前已知的和新的窃取者，我们在私人报告中详细描述了这些窃取者。您将在下面找到一些摘录。要了解有关我们的犯罪软件报告服务的更多信息，请通过 [email protected] 联系我们。

2023 年年中，我们发现了 Kral 下载器，当时它下载了臭名昭著的 Aurora 窃取程序。这种情况在今年 2 月发生了变化，当时我们发现了一个新的 Kral 窃取程序，由于某些代码相似，我们认为它与下载器属于同一恶意软件家族。

Kral 窃取程序仅由 Kral 下载器提供。当潜在受害者访问嵌入恶意广告的成人网站时，下载器本身会潜入用户的设备。这些将受害者重定向到网络钓鱼页面，该页面为他们提供下载文件的机会。该文件是 Kral 下载器。早在 2023 年，该下载器是用 C++ 和 Delphi 的组合编写的，这导致了相对较大的样本。如今，下载器完全用 C++ 编写，这已经将有效负载的大小缩小了 10 倍。

Kral 窃取程序与下载器有很多相似之处。两者都已签名，并且都使用相同的函数进行二进制完整性验证 （ WinVerifyTrust（） ）。此外，它们都使用相同的密钥进行字符串加密。最后但并非最不重要的一点是，Kral 名称用于两个二进制文件的 PDB 路径中。

在功能方面，窃取者对加密货币钱包和浏览器数据特别感兴趣。在 C：ProgramData 中创建一个随机文件夹，其中存储了被盗数据以及有关系统的信息（本地时间、时区、CPU 等）。然后，该文件夹被压缩并通过后台智能传输服务 （BITS） 的 COM 接口发送到 C2。窃取者只收集一次数据。但是，如果用户再次启动它，它将再次窃取。

针对 macOS 的 AMOS 窃取程序于 2023 年初首次被发现。2024 年 6 月，我们发现了一个传播此恶意软件的新域。该网站模拟了 Homebrew 包管理器。经过更深入的调查，我们发现用户最终是通过恶意广告访问了这个网站。

自制假网站

从上图中可以看出，安装恶意软件有两种选择。首先，有一个选项可以直接下载受感染的 DMG 映像，而第二个选项是使用安装脚本。

安装脚本相当简单。它下载并安装恶意映像，然后下载并安装合法的 Homebrew 包。在另一种情况下，当用户下载图像时，将显示以下屏幕：

带有嵌套文件的 DMG 文件

可以看出，用户被诱骗认为他们已经启动了 Homebrew 应用程序并打开了 AMOS 窃取程序。执行恶意软件时，将启动终端和 bash 进程的多个实例。这些进程开始收集系统信息并创建新的隐藏会话历史记录文件。窃取者还嵌入了一个特定的技巧来收集 macOS 用户密码。恶意软件不会记录击键，而是显示请求用户凭据的欺骗性对话框。

Vidar 背后的参与者通过在 YouTube 上添加评论来传播它，这些评论包含指向托管在每周变化的文件共享平台上的 ZIP 或 RAR 存档的链接。存档受密码保护，但密码位于与存档相同的 URL 中。

云存储的内容

下载的存档包含另一个受密码保护的存档，其中包含以下文件：

1. converter.exe：合法的 ImageMagick 应用程序;

2. vcomp100.dll：用于 DLL 劫持的恶意 DLL;

3. bake.docx：加密的第一阶段加载器;

4. blindworm.avi：IDAT 加载器，第二阶段有效载荷。

合法的 converter.exe 加载vcomp100.dll因为前者容易受到 DLL 劫持。接下来，恶意 DLL 读取加密的 “bake.docx” 文件，从指定的偏移量获取有效负载和密钥，并对有效负载进行解码。该有效负载是 Penguish 下载器的变体，其中包含 IDAT 打包样本。这意味着我们可以使用 IDAT 加载程序提取器来提取最终的有效载荷，即 Vidar 窃取程序。

有趣的是，Vidar 实际上并没有窃取数据，而是下载了 ACR 窃取程序。后者和现在的许多窃取者一样，对浏览器数据和钱包感兴趣。Vidar 通常也针对相同类型的数据，但在这种情况下，它使用 ACR Stealer 作为渗透模块。

根据我们的遥测数据，大多数受害者在巴西被发现。

窃取者无处不在，它们在网络犯罪分子中很受欢迎。被盗数据可以被攻击者自己用于进一步攻击，也可以在暗网上出售。尽管窃取者对窃取加密相关数据实施了广泛的支持，但收集凭据可能同样具有破坏性，甚至更具破坏性。对于提供对公司网络的访问权限的凭证尤其如此，然后可以利用这些凭证来部署勒索软件攻击。

相对简单的措施，例如 2FA、选择唯一密码、仅从官方网站下载软件以及在下载前仔细检查网站，可能会使此类攻击复杂化。

如果您想了解犯罪分子使用的最新 TTP，或者您对我们的私人报告有疑问，请通过 [email protected] 联系我们。