扫码领资料

获网安教程

来Track安全社区投稿~  

赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

一种新发现的信息窃取型恶意软件被命名为 PupkinStealer。该恶意软件由 C# 开发，基于 .NET 框架构建，体积轻巧但功能强大，主要针对用户的敏感数据，包括浏览器凭据、桌面文件、消息应用会话以及屏幕截图等。

根据 CYFIRMA 提供并分享给 Cyber Security News 的详细分析，PupkinStealer 利用 Telegram 的 Bot API 进行隐蔽的数据外传，突显出越来越多攻击者倾向于滥用合法平台以执行恶意活动的趋势。

PupkinStealer 于 2025 年 4 月首次被发现，其特点是简单直接，只针对特定数据进行窃取，这使其区别于更为泛滥的恶意软件。

它依赖 Telegram 作为其 命令与控制（C2） 渠道，这与该平台因匿名性强、使用便捷而受到网络犯罪分子青睐的趋势相符。CYFIRMA 通过嵌入的代码字符串将该恶意软件归因于一位名为 “Ardent” 的开发者。

主要功能与能力

PupkinStealer 旨在实现快速数据收集，几乎没有混淆或持久化机制，优先考虑的是快速执行而非长期潜伏。其主要功能包括：

该恶意软件能够提取并解密来自 Chromium 内核浏览器（如 Google Chrome、Microsoft Edge、Opera、Opera GX 和 Vivaldi）中保存的登录凭据。

它从浏览器的 Local State 文件中提取解密密钥，并使用 Windows 数据保护 API（DPAPI）对存储在基于 SQLite 的 Login Data 数据库中的密码进行解密。

PupkinStealer 会扫描受害者桌面上的特定文件类型（如 .pdf、.txt、.sql、.jpg、.png），并将其复制到临时目录中，准备进行外传。

该恶意软件还通过复制包含会话文件的 Telegram tdata 文件夹 来窃取 Telegram 数据，这些文件允许攻击者无需凭证即可访问受害者账号。它还使用正则表达式从 Discord 的 leveldb 目录 中提取身份验证令牌，从而让攻击者能够冒充受害者。

PupkinStealer 会截取受害者桌面分辨率为 1920×1080 的截图，并将其保存为 .jpg 文件以便外传。

所有被窃取的数据都会被压缩成一个 ZIP 文件，并嵌入元数据（如用户名、公网 IP 和 Windows 安全标识符 SID），随后通过构造好的 API URL 发送到攻击者控制的 Telegram 机器人。

技术分析

PupkinStealer 是一个基于 GUI 的 32 位 Windows 可执行文件，大小为 6.21 MB。其采用 .NET 编写，支持 AnyCPU 架构，因此可兼容 x86 和 x64 环境。

该恶意软件使用 Costura 库 将压缩的 DLL 文件嵌入其中，这导致其 .text 段的熵值较高（达到 7.998），尽管它没有采用传统的加壳方式。

在运行时，.NET 框架会初始化公共语言运行库（CLR），并调用恶意软件的 Main() 方法，协调多个异步任务以实现数据窃取。关键组件包括：

• • ChromiumPasswords 类：提取浏览器凭据，为不同浏览器创建文本文件（如 Chrome.txt、Edge.txt），保存在临时目录 %TEMP%[用户名]Passwords 中，并使用 AES-GCM 解密密码。
• • FunctionsForStealer 与 FunctionsForDecrypt 类：从 Local State 文件中获取浏览器密钥并进行解密，从而访问加密的密码。
• • GrabberDesktop 方法：将桌面上的文件复制到名为 DesktopFiles 的目录中，仅提取指定扩展名的文件，并静默处理错误以避免引起注意。
• • Telegram 与 Discord 模块：定位并外传会话数据与身份令牌。其中 Telegram 的 tdata 文件夹会递归复制，Discord 的令牌通过正则表达式提取。
• • 截图与压缩模块：截取桌面截图，并将所有窃取的数据使用 CP866 编码和最高压缩等级（9）压缩为 ZIP 文件。

通过 Telegram 进行数据外传

PupkinStealer 通过名为 botKanal 的 Telegram 机器人（用户名：botkanalchik_bot）进行数据外传。该名称可能源自俄语中的“канал”（意为“频道”）。

该恶意软件通过 Telegram Bot API 向机器人发送 ZIP 压缩包，附带的说明文字中包含详细的受害者信息，如用户名、IP 地址、安全标识符（SID）以及各模块是否执行成功的标志。

“恶意软件中包含的归属字符串 ‘Coded by Ardent’ 表明开发者使用了该化名。再结合 Telegram 元数据中的俄语文本，进一步暗示其可能源自俄罗斯。”

该恶意软件结构简单，缺乏高级的反分析机制，使得技术水平较低的攻击者也能轻松使用。它属于当前日益流行的模块化、低复杂度的信息窃取工具之一，常以“恶意软件即服务（MaaS）”的模式传播，使攻击者能快速通过凭据窃取、会话劫持、数据倒卖等手段在暗网上变现。

防御建议

PupkinStealer 的简洁设计再次强调了健全网络安全措施的重要性。组织与个人可通过以下方法降低风险：

• • 用户意识：警惕来自不可信来源的文件，避免点击可疑链接，特别是那些推广不明软件的链接。
• • 杀毒与更新：使用可信的杀毒软件，并确保包括浏览器和聊天应用在内的所有软件保持最新，以修补安全漏洞。
• • 网络监控：监控是否存在向 Telegram API 或其他异常服务的异常出站流量，这可能表明数据正在被外传。
• • 凭据管理：使用密码管理器，避免在浏览器中保存密码，并在 Telegram、Discord 等平台上启用多因素认证（MFA）。
• • 安全文化：通过定期的员工培训提升防范社会工程攻击和恶意软件风险的意识，营造重视安全的企业文化。

参考：https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/