来自在线平台 Zscaler 的安全专家发表了对已知浣熊盗窃者恶意软件的新变种的分析。

Zscaler 在上周五的一份报告中说，新版本的恶意软件是用 C 编写的，不像以前的版本主要是用 C + + 编写的。

浣熊盗窃者2.0功能一个新的后端和前端，代码窃取凭证和其他数据更有效。

新版本的凭证窃取器也可以在32位和64位系统上工作，而不需要任何额外的依赖，而是直接从其 C2服务器获取8个合法的 DLL (而不是依赖 Telegram Bot API)。

C2还负责恶意软件的配置，包括目标应用程序、承载 DLL 的 URL 和用于数据过滤的令牌。然后，服务器接收机器指纹数据，并等待包含被盗信息的单个 POST 请求。

据报道，浣熊盗贼2.0盗取的数据类型包括系统指纹信息、浏览器密码、 cookies、自动填充数据和保存的信用卡、加密货币钱包、所有磁盘上的文件、截图和安装的应用程序列表。

Zscaler 写道: “我们也看到了浣熊盗贼 v2隐藏其意图的方式发生了变化，它使用了一种机制，在这种机制中 API 名称是动态解析的，而不是静态加载的。”。

据报道，在俄罗斯入侵乌克兰期间，一名主要开发商死亡后，浣熊盗窃者组织于2022年3月关闭。

根据 Sekoia 安全分析师的一项分析，该团队随后在暗网论坛上写道，他们将返回。他们在一个未披露的暗网论坛上发表了一篇博客文章，暗示浣熊盗窃者2.0在5月份已经在开发中。

Zscaler 的分析指出: “浣熊盗窃者作为恶意软件即服务(Malware-as-a-Service)出售，在过去的几年中已经变得流行起来，并且已经观察到了几起这种恶意软件的事件。”。

“这个恶意软件的作者不断地为这个恶意软件家族添加新的特性。这是继2019年第一次发布之后的第二次主要的恶意软件发布。这表明恶意软件可能会不断演变，并对组织构成持续的威胁。”