新型隐蔽MaaS恶意软件劫持Discord，并可窃取所有数据

2025年，网络安全分析师发现了一种名为卡兹窃密木马（Katz Stealer）的高度隐蔽信息窃取程序，该恶意软件采用恶意软件即服务（MaaS，Malware-as-a-Service）模式运营。根据Picus安全团队的详细报告，这款恶意软件的设计目标是"实现最大隐蔽性、模块化载荷投递和快速数据外泄"，其技术先进性令人印象深刻，同时商业化的运营模式使得即使初级攻击者也能发起高效的数据窃取活动。

攻击链分析

攻击始于常见的钓鱼邮件或虚假破解软件下载，投递恶意GZIP压缩包。报告指出："压缩包内含经过刻意混淆的JavaScript投放器，通过欺骗性变量名和复杂JavaScript技巧规避检测分析"。该投放器采用+[]强制转换和多态字符串构建等技术干扰分析，执行后会启动带有-WindowStyle Hidden参数的PowerShell命令，并完全在内存中解码Base64数据块，彻底规避基于磁盘的检测机制。

卡兹窃密木马通过cmstp.exe实现的UAC绕过 | 图片来源：Picus

隐蔽驻留技术

该恶意软件通过cmstp.exe利用已知的UAC绕过技术，借助恶意INF文件获取管理员权限执行。随后创建计划任务实现持久化驻留，并通过进程镂空（Process Hollowing）技术注入合法程序MSBuild.exe，伪装成可信的微软进程运行。报告强调："通过寄生在MSBuild进程中，恶意软件得以混入系统正常进程，规避安全工具检测"。

数据窃取能力

卡兹窃密木马表现出极强的数据窃取能力，几乎涵盖所有存储敏感信息的用户应用程序：

浏览器数据：密码、Cookies、自动填充数据、会话令牌，甚至信用卡CVV码

VPN与邮件客户端：Outlook、Foxmail、Windows Live Mail等应用的凭证

即时通讯平台：Discord和Telegram的令牌与会话劫持

加密货币钱包：Exodus、Electrum、MetaMask、Brave Wallet等150余种钱包

报告总结称："简而言之，它能窃取受感染系统上几乎所有有价值的数据"。该恶意软件还通过DLL注入技术渗透Chrome和Firefox浏览器，通过复制浏览器自身的解密逻辑访问加密的密码存储。

Discord劫持技术

卡兹窃密木马最具威胁的特性是其对Discord应用的持久化劫持能力。Picus解释称："它修改Discord应用app.asar压缩包内的index.js文件，用于获取并执行攻击者提供的JavaScript代码"。由于Discord在系统启动时自动运行且受用户和防火墙信任，该技术使得攻击者能在每次Discord启动时静默重新感染系统。

隐蔽通信机制

恶意软件与C2基础设施的通信采用隐蔽持久化设计，通过TCP信标连接185.107.74[.]40等服务器，使用植入ID（如al3rbi）标识身份，并按需下载模块。研究人员发现："其通信字符串与合法Chrome浏览器代理几乎完全相同，仅在末尾添加katz-ontop标识"，这为防御者提供了独特的威胁指标（IOC）。所有窃取数据（包括密码、屏幕截图和加密密钥）均立即外传，最大限度减少磁盘驻留时间，提高攻击成功率。

原文来自: securityonline.info