高级威胁研究： 剖析源自俄罗斯的收集窃取恶意软件

Collector-stealer 是一款源自俄罗斯的恶意软件，在互联网上被广泛使用，用于从最终用户系统中窃取敏感数据并将其存储在其 C&C 面板中。 为了帮助业界防范这一威胁，F5 首席技术官办公室下属高级威胁研究卓越中心的 Aditya K Sood 和 Rohit Chaturvedi 对收集器窃取者恶意软件进行了 360 度分析，以发掘隐藏的遗迹，涵盖二进制分析、其工作原理以及相关 C&C 面板的设计。

在相对较短的时间内，收藏者-窃取者已经变得相当普遍。 恶意软件所窃取的信息通常会通过地下市场出售，用于邪恶目的。 攻击者主要使用 Collector-stealer 针对欧洲国家，但它也会影响美国、中国和柬埔寨等其他国家的用户。

以下是通过本次分析发现的 Collector-stealer 的一些亮点和有趣特征：

• 收集器/窃取器使用多种方式启动感染，包括：
  • 引诱用户访问提供免费游戏下载的钓鱼门户网站
  • Windows 激活/破解软件包
  • 虚假矿工门户网站（模仿加密货币软件提供商门户网站类似内容以触发驱动下载攻击的门户网站）
• 收集器窃取程序用 C++ 编写，可感染用户机器，以窃取关键数据，例如存储的密码、网络数据、cookie、屏幕截图等。 恶意软件作者在其代码中使用了混淆技术来挫败研究人员并使代码变得更加复杂。
   
• 收集器窃取程序在将数据发送到 C＆C 服务器之前，会通过 ping Cloudflare DNS 解析器 IP 地址 1.1.1.1 检查受害者机器上的互联网连接。 如果 ping 请求失败，它会从受害机器中删除可执行文件以及收集的数据，然后静默退出。 否则，它会将收集的数据发送到 C＆C 服务器。
   
• 收集器窃取程序使用HTTP协议和POST方法发送收集的数据。 在发送数据之前，恶意软件会将数据压缩为存档 .zip 文件，然后将其发送到 C＆C 服务器。
  

由于其广泛的恶意软件功能，收集器-窃取者在地下论坛上很受欢迎。 我们看到许多用户对购买该恶意软件感兴趣，一些团体甚至试图提供破解版本。 俄罗斯组织“Hack_Jopi”自 2018 年 10 月起在论坛上出售 Collector-stealer。

对该恶意软件的详细分析的完整研究已在《Virus Bulletin》中发布。 请访问以下网址获取关于上述内容和其他发现的研究论文：
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer- Russian-origin-credential-and-information-extractor/ 

享受！