模块化恶意软件套件通过公开店面域名销售

一个化名为Cyber Products的威胁行为体在cyberproducts[.]io建立了公开店面，分发其模块化恶意软件套件Cyber Stealer。这一发展标志着恶意工具向公开商业化的转变，并在Hackforums等秘密在线社区进行额外推广。

该恶意软件也被称为Cyber Botnet & Stealer，定位为多功能一体化平台，利用模块化架构实现定制化和可扩展性。

Cyber Botnet功能

这种方法使有抱负的攻击者能够组装定制有效载荷，整合利用端点、网络和加密系统漏洞的组件。

“新的Cyber Stealer商店：威胁行为体Cyber Products通过cyberproducts[.]io公开销售其模块化恶意软件套件Cyber Stealer，同时在Hackforums等地下论坛进行推广。” — KrakenLabs (@KrakenLabs_Team) 2025年8月4日

Cyber Stealer的出现

通过用户友好的电子商务界面 democratizing 访问，Cyber Products降低了新手网络犯罪分子的入门门槛，可能放大野生攻击量。

店面的可见性突显了一个日益增长的趋势，即恶意软件即服务(MaaS)模型模仿合法软件分发，包括定价层级和支持文档，从而模糊了合法和非法数字经济之间的界限。

Cyber Stealer提供三个不同的许可层级：常规、高级和VIP，每个层级提供从一周到终身订阅的不同功能级别和访问时长。

定价结构从入门级99美元的基本周访问到2999美元的终身VIP套餐，反映了套件的全面功能集。

技术特性

核心上，该恶意软件包含高级信息窃取能力，旨在通过键盘记录、屏幕捕获和浏览器数据收集等技术从受感染系统中窃取凭据、财务详情和个人标识符等敏感数据。

补充这一点的是剪贴板模块，通过实时替换钱包地址来拦截和操纵加密货币交易，在剪贴板操作期间促进无声盗窃。

对于网络级中断，该套件包括DNS投毒功能，涉及注入恶意DNS记录以将流量重定向到攻击者控制的服务器，实现中间人攻击或钓鱼升级。

进一步增强其攻击武器库，Cyber Stealer嵌入DDoS（分布式拒绝服务）工具，能够协调容量、协议或应用层洪水以压倒目标基础设施，通常利用僵尸网络协调放大影响。

一个无声的加密货币矿工隐蔽运行，劫持CPU和GPU周期等系统资源以挖掘数字货币而不被用户检测，采用进程注入和反分析技术以规避端点检测和响应(EDR)解决方案。

反向代理功能的包含允许流量隧道化和匿名化，支持通过加密通道进行持久命令和控制(C2)通信。

远程shell访问为攻击者提供在受感染主机上的交互式命令执行，通过SSH或自定义植入等协议促进网络内的横向移动。

值得注意的是，高级变体拥有企业卷(EV)代码签名，利用被盗或欺诈获得的证书绕过安全控制并在Windows环境中实现更高执行权限。

根据报告，此功能利用对签名二进制文件的信任，可能提高针对现代防病毒和安全启动机制的感染成功率。

虽然这些功能被卖家积极营销，但它们尚未经过独立第三方分析验证，引发关于其实际效力和地下推广中可能夸大其词的问题。

安全建议

Cyber Stealer的模块化设计与恶意软件演变的更广泛趋势一致，其中多态代码和基于插件的可扩展性使威胁情报平台使用的检测签名和行为启发式复杂化。

监控这些发展的安全研究人员强调需要增强域名监控、论坛抓取和协作情报共享，以在这些市场进一步扩散之前破坏它们。

随着威胁行为体继续完善这些工具，建议组织通过多层策略加强防御，包括网络分段、零信任架构和实时异常检测，以减轻此类商品化恶意软件套件带来的风险。