详细内容或原文请订阅后点击阅览

从假冒 Proton VPN 网站到游戏模组,这个 Windows 信息窃取者无处不在

2026年4月15日 10:37 33 Comments
X Twitter Instagram Mail

这个信息窃取者隐藏在冒名顶替网站、GitHub 下载和 YouTube 链接中,旨在劫持帐户并耗尽加密货币钱包。

来源:Malwarebytes Labs 博客

我们发现了多个活动,该活动分发了一个我们追踪为 NWHStealer 的信息窃取程序,使用了从虚假 VPN 下载到硬件实用程序和游戏模组等各种内容。使该活动脱颖而出的不仅仅是恶意软件,还在于其传播的范围和程度。

一旦安装,它可以收集浏览器数据、保存的密码和加密货币钱包信息,攻击者可能会利用这些信息访问帐户、窃取资金或进行进一步的攻击。

我们检测到多个使用不同平台和诱饵来分发 NWHStealer 的活动。窃取程序以多种方式加载和执行,例如自注入或注入到 RegAsm(微软的程序集注册工具)等其他进程中。通常,额外的包装器(例如 MSI 或 Node.js)被用作初始加载器。

窃取者使用诱饵(文件声称的内容)进行分发,例如:

  • VPN 安装程序
  • 硬件实用程序(例如 OhmGraphite、Pachtop、HardwareVisualizer、Sidebar Diagnostics)
  • 挖矿软件
  • 游戏、秘籍和模组(例如 Xeno)

    • 它在多个分发渠道中托管或共享,包括:

  • 冒充合法服务的虚假网站,例如 Proton VPN
  • GitHub 和 GitLab 等代码托管平台
  • 文件托管服务,例如 MediaFire 和 SourceForge
  • 来自游戏和安全相关 YouTube 视频的链接和重定向

    • 虽然分发方式有很多种,但在本博客中我们看两种情况:

  • 案例 1:免费网络托管提供商分发恶意 ZIP 文件,该文件使用自注入加载窃取程序
  • 案例2:虚假网站通过DLL劫持并注入RegAsm进程来加载窃取程序

    • 案例 1:免费网络托管提供商分发窃取程序

    第一种情况是最意想不到的。我们发现免费网络托管提供商 onworks[.]net 在其下载部分托管 ZIP 文件,最终分发窃取程序。

    该网站排名前 10 万,允许用户完全在浏览器中运行虚拟机。

  • OhmGraphite-0.36.1.zip
  • Pachtop_1.2.2.zip

    • 哈希

    提供商 注入 保存的 程序 实用程序 浏览器 文件 额外的 服务的 窃取 定向 装程序 分发 攻击者 虚拟机 NWHStealer 安装程序 游戏 例如 信息 加载 托管