CYFIRMA 研究人员发现了一种基于 .NET 的新型信息窃取程序 PupkinStealer,这是一款轻量级但针对性极强的恶意软件,它会窃取浏览器凭证、消息会话数据和敏感桌面文件,然后通过 Telegram Bot API 悄悄传输这些数据。该恶意软件于 2025 年 4 月首次被发现,反映出利用合法云服务进行恶意数据泄露的趋势日益增长。
与那些收集所有能找到的数据的大型窃取程序不同,PupkinStealer 有一个明确的目标——窃取:
- 基于 Chromium 的浏览器(Chrome、Edge、Opera、Vivaldi)的浏览器密码
- Telegram 和 Discord 的会话文件
- 受害者桌面上的常见文件格式(.pdf、.txt、.jpg 等)
- 桌面截图
这些项目被存档,用系统元数据(如用户名和 IP)标记,并直接发送到攻击者控制的 Telegram 机器人。
CYFIRMA报告称:“所有收集到的数据都会被压缩成一个 ZIP 档案,并通过 Telegram Bot API 传输到远程服务器,从而最大限度地降低可追溯性并增强隐蔽性。 ”
PupkinStealer 绕过登录凭据的能力尤其令人担忧。它的目标是:
- Telegram 的 tdata 文件夹:允许攻击者无需用户凭据即可完全恢复会话。
- Discord 的 leveldb 存储:使用正则表达式模式提取 OAuth、MFA 和会话令牌。
CYFIRMA 警告说:“通过窃取整个 tdata 目录,该恶意软件使攻击者能够在另一个系统上恢复受害者的 Telegram 会话,从而获得完全访问权限。 ”
该恶意软件使用两个关键组件:
- FunctionsForStealer:从本地状态文件中提取特定于浏览器的加密密钥。
- FunctionsForDecrypt:使用 AES-GCM解密已保存的密码。
报告指出:“这些解密密钥随后用于访问和解密浏览器登录数据 SQLite 数据库中存储的密码。 ”
每个主要的 Chromium 浏览器都使用定制的方法(如 GetKeyChrome() 或 GetKeyVivaldi())单独处理。
PupkinStealer 默默地:
- 以 1920×1080 的分辨率捕获受害者的主屏幕。
- 扫描桌面以查找 .sql、.jpg、.png 等高价值文件。
- 通过抑制文件收集期间的错误消息来避免警告用户。
收集所有数据后,PupkinStealer 将执行以下操作:
- 将其压缩为名为 [用户名]@ardent.zip 的 ZIP 档案。
- 在档案注释部分嵌入元数据(例如受害者的 IP、SID)。
- 使用自定义 Telegram Bot URL 发送。
由于 Telegram 的加密性、可靠性和匿名性,其数据泄露使用变得越来越流行——威胁行为者现在正在充分利用这些优势。
根据嵌入的字符串显示,恶意软件作者使用的别名是 Ardent。所使用的 Telegram 机器人 botkanalchik_bot 似乎源自俄罗斯,其名称中含有“канал”(频道)的字样。
发表评论
您还未登录,请先登录。
登录