AuraStealer信息窃密木马活跃传播，攻击者依托48个C2域名持续攻击用户

网络威胁分子正在大规模部署一款名为 AuraStealer 的新型信息窃密木马。该木马拥有不断扩大的客户群体、48 个已确认的 C2 命令控制域名，并通过 TikTok、破解软件网站等流行平台发起多轮攻击活动。

AuraStealer 于 2025 年年中出现在俄语系网络犯罪论坛，在 LummaC2 遭打掉后，迅速成为其继任者与竞争对手。

该恶意软件以订阅制出售，分为基础版与高级版，由名为 AuraCorp 的团队宣传推广。团队宣称拥有 5–11 年安全相关经验，并具备专业化开发流程。

研究人员指出，尽管早期版本成熟度不及 Rhadamantys、Vidar 等老牌窃密木马，但开发速度极快，功能更新频繁。

根据相关论坛帖子与信息，AuraStealer 开发者称已快速吸引大批从 Lumma、StealC、Vidar、Rhadamantys 迁移而来的客户，显示其在黑产生态中扩散速度极快。

在本次报告中（2026 年 1 月已同步给客户），Intrinsec 威胁情报团队提供了高价值、可落地的上下文情报，帮助机构理解并防御此类网络威胁。

该项目的后续路线图还包括加入代码虚拟化保护，大幅提升逆向分析难度。

分析师已梳理出 48 个 AuraStealer C2 域名，其中大量使用廉价且易滥用的 .SHOP 与 .CFD 顶级域。

这些域名包括：

auracorp.cfd、mscloud.cfd、magicupdate.cfd、gamedb.shop、browsertools.shop、clocktok.cfd 等。

它们均通过 Cloudflare 代理隐藏真实后端服务器。

每个域名使用独立的 Cloudflare 源站证书，但全部指向同一套后端架构，疑似为单台服务器，运行的组件版本均已过时：

Apache 2.2.22、PHP 5.4.45、CodeIgniter 3.1.11、Symfony 3.4.26。

研究人员通过关联恶意软件配置、HTTP 头与全网测绘引擎，发现了与特定版本对应的域名集群。

早期版本（1.0.x–1.2.x）主要使用 .SHOP 域名，而最新的 1.5.2 样本更倾向使用 .CFD，表明攻击者正在逐步将基础设施从 .SHOP 切换到 .CFD。

LuxHost 与 Nicenic 作为部分域名的注册商或 DNS 服务商，进一步证明这些域名集群由同一团伙控制。

在从 VirusTotal 超过 200 个 AuraStealer 样本配置中提取出的 21 个 C2 域名的历史截图里，均出现了相同的登录页面。

AuraStealer 攻击活动采用灵活的投递链，结合社会工程学与通用加载器分发。

其中一个主要传播渠道是 TikTok 上的 ClickFix 骗局：

短视频声称可免费激活 Windows、Microsoft 365、Adobe 系列、Netflix、Spotify 等，并诱导受害者以管理员权限执行一行 PowerShell 命令。

该命令会下载并执行远程 PowerShell 脚本，最终释放 AuraStealer 载荷，例如从 file-epq.pages.dev/updater.exe 下载。

除 TikTok 外，AuraStealer 还通过自解压压缩包、假冒系统清理工具（如 Gcleaner）、通用加载器传播，并将自身注入合法 Windows 进程，如 regasm.exe、SndVol.exe。

多轮攻击活动使用 Donut shellcode 加载器 或 Soulbind 加载器，从攻击者控制的服务器下载 AuraStealer，例如：

94.154.35.115、130.12.180.43。

这些主机还分发 Stealc、Rhadamanthys、Vidar、SalatStealer、NJRAT 等多种远控与窃密木马。

AuraStealer 运营者通过 auracorp.cfd 的 Web 管理面板控制感染终端，支持数据面板、载荷生成、日志筛选、Telegram 机器人报警等功能。

其登录流程内置 JavaScript 工作量证明（PoW） 机制，强制浏览器计算前 16 位为 0 的 SHA‑256 哈希才能提交表单，可抵御绝大多数自动化扫描器、简单脚本与暴力破解。

管理面板代码中出现俄语字符串，进一步指向俄语系攻击者。

在终端侧，1.5.2 版本采用高强度混淆与反分析技术：

间接控制流、异常驱动 API 哈希、XOR 加密字符串、虚拟机与沙箱检测、调试器检测、完整性校验，甚至在检测到钩子或断点时触发隐藏栈破坏。

该窃密木马会对部分独联体地区实施地理定位放行，显示出明确的地域投放策略。

通过自检后，AuraStealer 可从 100 多款浏览器、70 多款应用中窃取凭证与敏感数据，包括：

加密货币钱包、两步验证工具、VPN 客户端、密码管理器、远程控制软件等。

所有数据通过 AES‑CBC 加密的 HTTPS 传输到轮替 C2 服务器的三个专用接口：apilive、apiconf、apisend。

凭借不断扩充的功能、持续扩张的基础设施与活跃的攻击活动，AuraStealer 正从一款新兴窃密木马快速成长为高风险凭证窃取威胁，已成为安全防御方必须重点监控的目标。