在去年11月專家門發現了新款資料盜竊惡意程式Stealka,針對Windows用戶的資料,可騎劫帳號、盜竊加密貨幣和在受害者裝置上安裝挖礦程式,最近程式更把自己偽裝成遊戲破解、作弊程式和修改內容。
Stealka的擴散方式
Stealka是收集儲存在受害者裝置內的機密資料,然後發送到攻擊者伺服器的惡意程式,通常在受歡迎的平台,例如GitHub、SourceForge、Softpedia、sites.google.com等等,偽裝成熱門軟件、遊戲作弊和修改內容,惡意程式需要用戶手動執行檔案才能啟動。有時候攻擊者也會製作一個完全虛假的網頭,看似專業(可能使用AI工具),沒有防毒軟件的用戶可能會掉入陷阱。不過有時候網站看起來會有些可疑,即使提供遊戲的下載,但同時聲稱並非遊戲,是專為Windows設計的軟件解決方案,事實上網頁標題和檔案名都只是誘餌,攻擊者只是使用熱門搜尋引誘用戶下載惡意程式,檔案內容與他們的描述並無關連,網站也自稱所有檔案都經過防毒軟件掃瞄,事實當然只是攻擊者製作的可信假像。
Stealka的危險之處
Stealka具備頗豐富的功能,但主要目標是Chromium和Gecko引擎的瀏覽器內的資料,涉及的瀏覽器可能過百款,瀏覽器儲存大量敏感資料,攻擊者藉著騎劫帳號去繼續他們的攻擊,主要目標是自動填寫資料,例如登入憑證、地址、付費卡資料,再次證明在瀏覽器內儲存密碼十分危險,攻擊者可以在數秒內取得資料,cookies和token對黑客而言更有價值,令他們能繞過雙重驗證和騎劫帳號而無需輸入密碼。攻擊者也會利用入侵的帳號進一步擴散惡意程式。
除了盜竊瀏覽器資料,Stealka也會115款瀏覽器擴充插件的設定和資料庫,它們涉及加密錢包、密碼管理員和2FA服務等,以下是受影響的最受歡迎擴充插件:
- 加密錢包:Binance、Coinbase、Crypto.com、SafePal、Trust Wallet、MetaMask、Ton、Phantom、Exdous
- 雙重登入驗證:Authy、Google Authenticator、Bitwarden
- 密碼管理:1Password、Bitwarden、LastPass、KeePassXC、NordPass
盜竊工具也會下載本機設定、帳號資料、服務檔案等:
- 加密錢包:錢包設定可能含有加密了的私鑰、seed-phrase資料、錢包檔案路徑和加密參數,足以嘗試盜竊加密貨幣,約80款錢包應用程式存在風險。
- 通訊應用程式:通訊應用程式儲存帳號資料、裝置識別碼、身份驗證token和對話的加密參數,理論上能存取帳號和閱讀對話。
- 密碼管理員:即使密碼本身經過加密,設定檔經常含有令破解變得容易的資訊,例如加密參數、同步token和「金庫」的版本和結構。
- 電郵客端:可以找到帳號憑證、電郵伺服器連線設定、驗證token和電郵的副本,一經存取電郵,攻擊者便會嘗試重設其他服務的密碼。
- 記事應用程式:有些用戶會把seed phrase或密碼記錄在記事的應用程式內。
- 遊戲服務和客端:遊戲平台和啟動器的本機檔案儲存帳號資料、連結的服務資料和憑證token。
- VPN客端:取得設定檔案,攻擊者能騎勢受害者的VPN帳號,騎劫帳號藉此掩飾他們的惡意活動。
防範Stealka和其他盜竊惡意程式
- 安裝可靠的防毒軟件
- 不要在瀏覽器儲存敏感資料
- 提防遊戲作弊、修改和盜牌軟件。
- 啟動雙重登入驗證或備份代碼,後者協助在帳號遭入侵後重新取得存取。
資料來源:Kaspersky Blog
