曹县恶意软件 OtterCookie 升级，新增 Windows、Linux 和 macOS 功能

一种名为 OtterCookie 的复杂恶意软件，归因于曹县威胁组织 WaterPlum（也称为 Famous Chollima 或 PurpleBravo），已获得重大升级，增强了其跨平台功能和凭证盗窃功能。

该恶意软件于 2024 年 9 月首次被发现，现已演变出多个版本，最新版本出现于 2025 年 4 月，表明该威胁组织持续专注于针对全球金融机构、加密货币运营商和金融科技公司。

该恶意软件的演变是有条不紊的，研究人员通过四个不同的版本追踪其发展。

WaterPlum 最初于 2023 年作为“传染性采访”活动的一部分进行部署，并于 2024 年底从使用 BeaverTail 恶意软件过渡到使用 OtterCookie，这标志着其攻击方法的战略转变。

该恶意软件的持续发展表明该组织不断努力规避安全措施并在受感染的环境中保持持久性。

NTT Security 的研究人员通过持续监控 WaterPlum 的活动发现了这一威胁，并指出该威胁组织在维持运营的同时正在积极升级恶意软件的功能。

根据分析，过渡时间表显示版本迁移大约每两到三个月发生一次，截至 2025 年 5 月，v3 和 v4 目前均已在野外活跃。

OtterCookie 的最新版本展示了增强的跨平台多功能性，其定制模块旨在在 Windows、macOS 和 Linux 环境中运行。

这种多平台方法代表了威胁形势的重大演变，因为许多恶意软件变种通常专注于单一操作系统环境。

凭证盗窃机制

OtterCookie v4 中最显著的增强是其复杂的凭证窃取功能。

该恶意软件现在包含专门针对浏览器凭证和加密货币钱包的专门窃取模块。

一个模块专注于使用 Windows 数据保护 API (DPAPI) 解密 Google Chrome 存储的密码，提取登录凭据，并将它们临时存储在本地数据库文件（“AppDataLocal1.db”）中。

第二个 Stealer 模块采用了不同的方法，它从Google Chrome、Brave 浏览器和 MetaMask 加密货币钱包扩展程序收集加密的凭证数据，而无需在本地解密。

NTT 研究人员在技术分析中指出，这种实施上的差异表明可能有多名开发人员参与了该恶意软件的创建。

该模块还针对 macOS Keychain，展示了攻击者跨平台窃取凭证的综合方法。

该恶意软件通过新的虚拟环境检测功能进一步增强了其操作安全性，使其能够识别何时在安全沙箱中运行并可能相应地改变其行为。

此外，剪贴板监控功能已经得到改进，可以使用本机操作系统命令而不是第三方库，这使得检测更加困难。

技术报告：

https://jp.security.ntt/tech_blog/en-waterplum-ottercookie

新闻链接：

https://cybersecuritynews.com/ottercookie-malware-upgraded-with-new-features/

讲述普通人能听懂的安全故事