来自在线平台 Zscaler 的安全专家发表了对已知浣熊盗窃者恶意软件的新变种的分析。
Zscaler 在上周五的一份报告中说,新版本的恶意软件是用 C 编写的,不像以前的版本主要是用 C + + 编写的。
浣熊盗窃者2.0功能一个新的后端和前端,代码窃取凭证和其他数据更有效。
新版本的凭证窃取器也可以在32位和64位系统上工作,而不需要任何额外的依赖,而是直接从其 C2服务器获取8个合法的 DLL (而不是依赖 Telegram Bot API)。
C2还负责恶意软件的配置,包括目标应用程序、承载 DLL 的 URL 和用于数据过滤的令牌。然后,服务器接收机器指纹数据,并等待包含被盗信息的单个 POST 请求。
据报道,浣熊盗贼2.0盗取的数据类型包括系统指纹信息、浏览器密码、 cookies、自动填充数据和保存的信用卡、加密货币钱包、所有磁盘上的文件、截图和安装的应用程序列表。
Zscaler 写道: “我们也看到了浣熊盗贼 v2隐藏其意图的方式发生了变化,它使用了一种机制,在这种机制中 API 名称是动态解析的,而不是静态加载的。”。
据报道,在俄罗斯入侵乌克兰期间,一名主要开发商死亡后,浣熊盗窃者组织于2022年3月关闭。
根据 Sekoia 安全分析师的一项分析,该团队随后在暗网论坛上写道,他们将返回。他们在一个未披露的暗网论坛上发表了一篇博客文章,暗示浣熊盗窃者2.0在5月份已经在开发中。
Zscaler 的分析指出: “浣熊盗窃者作为恶意软件即服务(Malware-as-a-Service)出售,在过去的几年中已经变得流行起来,并且已经观察到了几起这种恶意软件的事件。”。
“这个恶意软件的作者不断地为这个恶意软件家族添加新的特性。这是继2019年第一次发布之后的第二次主要的恶意软件发布。这表明恶意软件可能会不断演变,并对组织构成持续的威胁。”