黑客利用 Google Docs 和 Steam 传播 ACRStealer 信息窃取程序

根据 AhnLab 安全情报中心 (ASEC) 的研究，一种新型信息窃取恶意软件 ACRStealer 正在利用Google Docs和Steam等合法平台进行攻击。这种恶意软件最初于 2024 年中期以测试版形式出现，自 2025 年以来传播量显著增加，2 月份的数量与 1 月份持平，表明可能会激增。

值得注意的是，根据Hudson Rock 的报告，信息窃取者已成为关键基础设施的最大威胁。报告显示，美国陆军、海军甚至联邦调查局的计算机都遭到入侵，被盗数据在暗网上的售价仅为 10 美元。

在正在进行的活动中，ASEC 的监控证实，ACRStealer 通过软件破解和密钥生成器进行传播，这些手段通常用于软件盗版，并且该恶意软件经常伪装成这些非法程序。

虽然Lumma Stealer 和 Vidar一直是通过这种方式传播的主要信息窃取者，但研究人员发现 ACRStealer 的存在正在迅速增长。根据他们的报告，ACRStealer 从 2024 年 6 月到 2025 年 2 月的传播趋势表明，2025 年将急剧上升。

ACRStealer 拥有一系列恶意功能。它可以检测已安装的防病毒解决方案、窃取加密货币钱包和登录凭据、提取浏览器数据、收集 FTP 凭据并读取所有文本文件。这些被盗信息使网络犯罪分子能够瞄准金融资产和个人账户。被盗凭据可访问电子邮件、社交媒体和银行服务。这些数据还可用于身份盗窃或在暗网市场上出售。

ACRStealer 的一个关键功能是其 C2 服务器通信。它不嵌入服务器的 IP，而是使用 Dead Drop Resolver (DDR)。此方法涉及恶意软件联系合法服务（例如 Google Docs 或Steam）以检索 C2 服务器的域。ASEC 已确定了多个用作中间 C2 的平台，包括 Steam、telegra.ph 和各种形式的 Google Docs（表单和演示文稿）。

这种方法允许攻击者在 C2 域被攻陷时轻松更改它，而无需更新恶意软件本身。他们只需修改中间 C2 中的信息即可。

从中间 C2 检索到的实际 C2 域与硬编码的 UUID（通用唯一标识符）相结合，以创建用于下载加密配置数据的 URL。此数据包含关键信息，例如目标程序、其他恶意软件 URL、文件扩展名和目标扩展 ID。

配置文件指定了要窃取的各种数据，包括浏览器数据、文本文件、加密货币钱包、FTP 信息、聊天程序信息、电子邮件客户端信息、远程程序信息、终端程序信息、VPN 信息、密码管理器信息、数据库（DB）信息和浏览器扩展插件信息。

此外，它还针对众多程序，从 Chrome 和 Firefox 等浏览器到 Binance 和 Electrum 等加密货币钱包、Telegram 和 Signal 等聊天程序以及各种浏览器插件。收集的文件通常在传输前进行压缩。

AhnLab 的研究重点是 ACRStealer 的适应性方法，不断改变平台及其中 C2 信息的位置。它以恶意软件即服务 (MaaS)的形式运行，使感染追踪变得困难。

但是，可以采取预防措施。这包括避免访问分发破解程序和密钥生成器的网站，并仅从官方来源下载软件。此外，请谨慎对待未经请求的通信中的链接和附件，启用多因素身份验证 (MFA) 以增加安全性，并维护有效的反恶意软件解决方案。