Part01
恶意软件情况概述
自2024年12月下旬以来,该恶意软件一直通过一个组织严密的欺诈性网站和Telegram渠道进行分发。最初,该恶意软件以免费试用形式吸引用户,随后转向订阅模式,网络犯罪分子可以使用加密货币和Razer Gold支付购买每周或每月的访问权限。
幕后威胁参与者维护着多个Telegram渠道用于分发、更新甚至发布“客户”评价,展现出其网络犯罪基础设施运营的专业化。
Trellix研究人员在例行的主动威胁狩猎活动中发现了这个完全未被检出的恶意软件样本,揭示了其复杂的架构和规避能力。研究团队发现,该恶意软件针对如Chrome、Firefox、Edge、Opera、Brave以及Discord等通信平台和各种全球使用的专业浏览器。
其分发机制依赖社会工程学,攻击者将恶意软件伪装成合法的游戏软件、作弊工具或流行游戏的测试版。受害者通常通过带密码的RAR压缩包接触到该恶意软件,其密码通常遵循可预测的模式,例如游戏名称后加上 “beta” 或 “alpha”。
在某些情况下,威胁行为者会在在线论坛中发布恶意链接,甚至提供显示零检出的VirusTotal报告,以在游戏社区中建立可信度。
高级感染与规避机制
Myth Stealer的技术复杂性通过其多层感染过程和全面的规避策略得以显现。执行时,Myth Stealer会使用一个加载器组件向受害者显示逼真的虚假窗口,同时在后台解密并执行实际的窃取器有效载荷。
这些欺骗性界面利用Rust库,如native-windows-gui、egui或native_dialog,来创建外观逼真的应用程序窗口,以掩盖幕后发生的恶意活动。窃取器组件本身是一个64位的DLL文件,具有复杂的反分析功能。最值得注意的是,它利用Rust库obfstr进行字符串混淆,将可读字符串转换为复杂的异或(XOR)运算,这极大地增加了逆向工程的难度。
该恶意软件还通过检查通常与分析环境关联的特定用户名和系统文件来度过沙箱检测,一旦检测到此类事件,便立即终止执行。
对于基于Chromium内核的浏览器,Myth Stealer也采用了一种特别巧妙的远程调试功能来逃避检测。恶意软件启动浏览器进程时附带特定参数,包括--remote-debugging-port=9222、--remote-allow-origins=*=和--headless,以建立调试会话。这使其能够直接访问浏览器数据,而无需使用基于文件的提取方法。而在最近的版本中,该恶意软件尝试使用Windows的ShellExecuteW API配合runas参数来提升权限,从而增强其访问受保护浏览器数据库的能力。
其持久化机制同样复杂:它在用户的AppDataRoaming目录下创建一个名为winlnk.exe的文件,同时建立自定义注册表项,将一个伪造的.lnkk 文件扩展名与该恶意软件可执行文件关联起来。这种方法确保了恶意软件在系统重启后仍能存活,同时保持低调,规避了专注于传统持久化技术的标准安全监控。
参考来源:
New Rust Based InfoStealer Extracts Sensitive Data from Chromium-based Browsershttps://cybersecuritynews.com/new-rust-based-infostealer-extracts-sensitive-data/
推荐阅读
电台讨论![基于Rust语言的新型木马针对Chromium内核浏览器进行窃密]( "基于Rust语言的新型木马针对Chromium内核浏览器进行窃密")
原文始发于微信公众号(FreeBuf):基于Rust语言的新型木马针对Chromium内核浏览器进行窃密
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论