在另一个利润丰厚的犯罪软件即服务(CaaS)生态系统的迹象中,网络安全研究人员发现了一个新的基于Windows的信息窃取工具,名为美杜莎窃取器(Meduza Stealer),其作者正在积极开发以逃避恶意软件解决方案的检测,并正在暗网上积极推广。
Uptycs在一份新报告中表示:“Meduza Stealer的目标只有一个:全面窃取数据。”“它窃取用户的浏览活动,提取大量与浏览器相关的数据。”
“从关键的登录凭据到有价值的浏览历史记录和精心策划的书签,没有任何数据是安全的,即使是加密钱包扩展、密码管理器和2FA扩展也很容易受到攻击。”
尽管功能相似,Meduza拥有“巧妙”的操作设计,避免使用混淆技术,并在与攻击者服务器的连接失败时立即终止其在受感染主机上的执行。
如果受害者所在的位置位于窃取者预先定义的排除国家列表中(其中包括独立国家联合体(CIS)和土库曼斯坦),它也会中止执行。
Meduza Stealer除了从19个密码管理器应用程序、76个加密钱包、95个网络浏览器、Telegram、Discord、Steam和系统元数据中收集数据之外,还收集了与矿工相关的Windows注册表项以及已安装的游戏列表,这表明了更广泛的金融动机。
目前,它在XSS.is和Exploit.in等暗网地下论坛以及专门的Telegram频道上以定期订阅形式出售,每月费用为199美元,三个月费用为399美元,终身许可证费用为1199美元。恶意软件窃取的信息可通过友好的用户后台管理面板获取。
研究人员表示:“此功能允许订阅者直接从网页下载或删除被盗数据,从而使他们能够对非法获取的信息进行前所未有的控制。”
“这种深入的功能设置展示了Meduza Stealer的复杂性,以及其创作者为确保其成功所愿意付出的努力。”
VirusTotal上新恶意软件的检测水平仍然很低。到目前为止,仅确定了一台C2服务器(位于德国),Meduza组件与该服务器进行通信。