資安研究人員最近揭露,已被駭客圈廣泛採用的資料竊取與惡意程式下載工具StealC推出了2.0重大版本,大幅強化其隱匿性能與資料竊取功能。
根據資安公司Zscaler剛出爐的分析報告,StealC的升級版早在今年3月就已在駭客圈流通,隨後幾週內陸續推出多個小版本修補與功能更新,目前最新版本已來到2.2.4。
StealC這款輕量級的資料竊取惡意程式在2023年初於暗網嶄露頭角,以每月200美元的價格供駭客租用。去年,該惡意程式曾被發現用於大規模網路釣魚廣告活動,並參與將受害電腦鎖進無法脫逃的資訊站模式的攻擊中。2024年底,資安
專家確認StealC的開發團隊持續活躍,甚至成功開發出繞過Chrome「應用綁定加密」(App-Bound Encryption)機制的手法,讓駭客能「重生」過期的cookie以接管Google帳號。
根據Zscaler的分析,StealC 2.0版本帶來以下幾項重大改進:
- 強化惡意載荷傳遞能力,支援EXE檔案、MSI安裝包和PowerShell指令碼,並提供更靈活的觸發條件設定。
- 採用RC4加密保護程式碼字串和命令與控制(C2)通訊,並在C2回應中使用隨機參數以更有效躲避資安監控。
- 提升架構和執行效能,新的惡意載荷針對64位元系統最佳化,能在執行時動態解析API函數,還加入自動刪除機制以消滅痕跡。
- 內建程式生成器,讓操控者能使用模板和自訂資料竊取規則生成全新的StealC版本。
- 整合Telegram機器人功能,提供駭客即時通報。
- 新增受害者螢幕截圖能力,支援多螢幕環境。
值得注意的是,除了功能添加之外,新版也移除了一些先前的功能,如反虛擬機檢測和DLL下載/執行功能。這可能是開發者為精簡程式而做的調整,但也可能只是大規模改寫程式碼後的暫時缺失,未來版本可能會以更優化的形式重新上架。
在Zscaler最近觀察到的攻擊中,StealC是由另一款名為Amadey的惡意程式載入器部署的,但不同駭客集團可能採用不同的傳播方法或攻擊鏈路。
資安專家提醒,為了保護資料免受資訊竊取惡意軟體的侵害,,用戶應避免在瀏覽器中存放敏感資訊,啟用多重驗證機制保護帳號,並且千萬不要從來路不明的網站下載盜版或不明軟體。
本文轉載自bleepingcomputer。