详细内容或原文请订阅后点击阅览
窃取者、窃取者、更多窃取者
在本报告中,我们讨论了两种新的窃取程序:Acrid 和 ScarletStealer,以及已知 Sys01 窃取程序的演变,后两者将窃取程序功能分为多个模块。
来源:Securelist _恶意软件报告简介
窃取程序是恶意软件领域的一个突出威胁。在过去的一年中,我们发表了对几种窃取程序的研究(见此处、此处和此处),目前,这种趋势似乎持续存在。在过去的几个月中,我们撰写了几份关于窃取程序的私人报告,因为我们发现了 Acrid(一种新的窃取程序)、ScarletStealer(另一种新的窃取程序)和 Sys01,自上次公开分析以来,它们已经更新了很多。
此处 此处 此处 之前的公开分析要了解有关我们的犯罪软件报告服务的更多信息,您可以通过 crimewareintel@kaspersky.com 与我们联系。
crimewareintel@kaspersky.comAcrid
Acrid 是去年 12 月发现的一种新窃取程序。尽管名字相同,但它与 AcridRain 窃取程序没有任何共同之处。Acrid 是使用 C++ 为 32 位系统编写的,尽管如今大多数系统都是 64 位的。仔细检查恶意软件后,发现为 32 位环境编译的原因很明显:作者决定使用“天堂之门”技术。这允许 32 位应用程序访问 64 位空间以绕过某些安全控制。
AcridRain 窃取程序Acrid 窃取程序中“天堂之门”技术的实现
在功能方面,该恶意软件嵌入了窃取程序可能具有的典型功能:
- 窃取浏览器数据(cookie、密码、登录数据、信用卡信息等);窃取本地加密货币钱包;窃取具有特定名称的文件(例如 wallet.dat、password.docx 等);从已安装的应用程序(FTP 管理器、Messenger 等)窃取凭据。
收集的数据被压缩并发送到 C2。