新型.NET恶意软件PupkinStealer：窃取浏览器凭据并通过Telegram外传

一种新发现的信息窃取恶意软件被命名为PupkinStealer。这款使用C#语言基于.NET框架开发的轻量级恶意软件能有效窃取敏感用户数据，包括浏览器凭证、桌面文件、通讯应用会话和屏幕截图。

根据CYFIRMA分享给《网络安全新闻》的详细分析报告，PupkinStealer利用Telegram的Bot API进行隐蔽数据外传，这种滥用合法平台进行恶意活动的趋势正在增长。首次发现于2025年4月的PupkinStealer是一款针对特定数据集的信息窃取程序，与那些无差别攻击的恶意软件形成鲜明对比。该恶意软件依赖Telegram进行命令控制，这符合该平台因匿名性和易用性在黑客群体中日渐流行的趋势。CYFIRMA通过内嵌代码字符串将这款恶意软件归因于名为"Ardent"的开发者。

主要功能特性

PupkinStealer设计用于快速数据收集，采用最低限度的混淆或持久化机制，优先考虑快速执行而非长期潜伏。其主要功能包括：

• 浏览器凭证窃取

恶意软件从基于Chromium的浏览器（如Google Chrome、Microsoft Edge、Opera、Opera GX和Vivaldi）中提取并解密保存的登录凭证。它从浏览器的Local State文件中获取解密密钥，并使用Windows数据保护API来解密存储在基于SQLite的"Login Data"数据库中的密码。

• 文件收集

PupkinStealer扫描受害者桌面上具有特定扩展名的文件（.pdf、.txt、.sql、.jpg、.png），并将它们复制到临时目录等待外传。

• 通讯应用攻击

该恶意软件通过复制包含会话文件的tdata文件夹来攻击Telegram，这些文件可实现在无凭证情况下访问账户。同时使用正则表达式从leveldb目录中提取Discord身份验证令牌，使攻击者能够冒充受害者。

• 屏幕捕获

PupkinStealer会捕获1920×1080分辨率的桌面截图，保存为.jpg文件用于外传。

• 数据外传

所有窃取的数据都被压缩成包含元数据（用户名、公网IP和Windows安全标识符）的ZIP文件，并通过特制的API URL发送到攻击者控制的Telegram机器人。

技术分析

PupkinStealer是一个32位GUI模式的Windows可执行文件，文件大小为6.21 MB。其SHA-256哈希值为[此处省略]。采用.NET编写并支持AnyCPU架构，可兼容x86和x64环境。

该恶意软件使用Costura库嵌入压缩DLL，尽管没有使用传统加壳技术，但其.text节区熵值高达7.998。执行时，.NET运行时初始化公共语言运行时(CLR)并调用恶意软件的Main()方法，该方法协调异步任务进行数据收集。关键组件包括：

- ChromiumPasswords类：通过创建浏览器特定的文本文件（如Chrome.txt、Edge.txt）处理凭证提取，存放于临时目录（%TEMP%[用户名]Passwords），并使用AES-GCM算法解密密码。

- FunctionsForStealer和FunctionsForDecrypt类：从Local State文件中检索并解密浏览器密钥，从而访问加密密码。

- GrabberDesktop方法：将桌面文件复制到DesktopFiles目录，按预定义扩展名过滤并静默处理错误以避免检测。

- Telegram和Discord模块：定位并外传会话数据和身份验证令牌，其中Telegram的tdata文件夹被递归复制，Discord令牌通过正则表达式提取。

- 截图和压缩例程：捕获桌面截图并使用CP866编码和最高压缩级别（级别9）将所有窃取数据压缩成ZIP文件。

通过Telegram外传

PupkinStealer将数据外传到名为botKanal（用户名：botkanalchik_bot）的Telegram机器人，该名称可能源自俄语单词"kanal"（频道）。

该机器人通过Telegram Bot API接收ZIP文件，消息描述中包含详细的受害者信息，包括用户名、IP地址、安全标识符(SID)和模块执行状态标记。