关键发现

• Proofpoint研究人员观察到机会型网络犯罪分子越来越多使用基于Stealerium的恶意软件，这是一款以"教育目的"为名开源提供的恶意软件
• 多个其他信息窃取器与Stealerium存在显著代码重叠，如Phantom Stealer
• 威胁行为者正越来越多转向信息窃取器，因为针对身份信息已成为网络犯罪分子的优先目标

概述

威胁行为者在恶意软件分发中越来越多转向信息窃取器，Proofpoint威胁研究人员观察到网络犯罪威胁行为者常规使用的商品化信息窃取器种类有所增加。虽然许多威胁行为者更喜欢使用像Lumma Stealer或Amatera Stealer这样的恶意软件即服务产品，但有些行为者更喜欢使用可以一次性购买或在GitHub等平台上公开获取的恶意软件。Stealerium就是一个很好的例子。

2022年，它作为自由可用的开源恶意软件出现在GitHub上，目前仍可下载"仅用于教育目的"。虽然开源恶意软件有助于检测工程师和威胁猎手理解行为模式以开发威胁检测签名，但它也为恶意行为者提供了另一种教育。这些行为者可能采用、修改并可能改进开源代码，导致恶意软件变种激增，这些变种不易检测或防御。

Stealerium的GitHub页面截图。

尽管该恶意软件已存在一段时间，但Proofpoint研究人员最近观察到分发基于Stealerium恶意软件的活动有所增加。2025年5月与网络犯罪行为者TA2715相关的活动导致对Stealerium的重新分析，自2023年初以来，Proofpoint电子邮件威胁数据中尚未广泛观察到该恶意软件的活动。另一个低复杂度的网络犯罪行为者TA2536也在2025年5月下旬使用了Stealerium。这两个行为者最近都偏爱Snake Keylogger（也称为VIP Recovery），因此使用Stealerium值得注意。Proofpoint研究人员发现了截至2025年8月的其他活动，这些活动采用了各种有说服力的诱饵和分发机制。虽然大多数活动未归因于已跟踪的威胁行为者，但最初的TA2715活动标志着在Proofpoint威胁数据中一年多来首次观察到Stealerium的使用。

活动详情

分发方法和诱饵

每条活动的消息量从几百到数万条不等。Stealerium活动包含带有各种文件类型的电子邮件用于分发，包括压缩可执行文件、JavaScript、VBScript、ISO、IMG和ACE存档文件。观察到的电子邮件冒充了许多不同的组织，包括慈善基金会、银行、法院和文档服务，这些是电子犯罪诱饵中常见的主题。主题行通常传达紧迫性或财务相关性，包括"Payment Due"、“Court Summons"和"Donation Invoice”。

例如，在2025年5月5日，Proofpoint发现了一个TA2715活动，冒充加拿大慈善组织，带有"报价请求"诱饵。消息包含一个压缩可执行文件附件，执行时下载并安装Stealerium。

TA2715活动冒充慈善组织。

研究人员还观察到多个活动利用旅行、酒店甚至婚礼主题的诱饵。例如，在2025年6月23日，Proofpoint发现了一个预订请求主题，带有传递Stealerium的压缩可执行文件。该活动针对酒店行业的组织，以及教育和金融组织。

旅行主题诱饵冒充旅行社。

与许多商品化恶意软件活动一样，分发Stealerium的威胁行为者也经常使用付款或发票诱饵。在2025年6月24日观察到的活动中，威胁行为者使用了"Xerox Scan"主题和与付款相关的诱饵。该活动针对全球数百个组织。这些消息包含压缩JavaScript文件，安装Stealerium并执行网络侦察以收集Wi-Fi配置文件和附近网络。

诱饵伪装成扫描的付款文档，最终传递JavaScript有效负载。

最后，与许多威胁行为者一样，分发Stealerium的活动通常使用利用恐惧、沮丧或兴奋的社会工程学，让人们带着紧迫感参与他们的消息。我们在一些Stealerium诱饵中观察到了成人主题内容，以及以下告诉收件人他们被起诉的示例。该活动于2025年7月2日观察到，带有2025年7月15日的"法庭日期"以增加电子邮件的紧迫性。这些消息包含带有嵌入式VBScript的IMG（磁盘映像）文件。VBScript下载有效负载作为压缩可执行文件，安装Stealerium。

法律主题诱饵带有.vbs和.img附件，导致Stealerium。

有效负载执行和侦察

执行后，Stealerium发出一系列"netsh wlan"命令来枚举保存的Wi-Fi配置文件和附近的无线网络。几个活动还利用PowerShell添加Windows Defender排除项，并使用计划任务进行持久性和规避。

示例进程树：

示例进程树。

收集Wi-Fi配置文件和广播网络表明意图获取存储的凭据以进行横向移动或对受感染主机进行地理定位。SSID命名模式和安全配置支持侦察工作，并可能使威胁行为者能够从附近系统进行访问准备。

在一些基于Stealerium的恶意软件变体中，我们目睹了使用远程调试，如chrome.exe中的"–remote-debugging-port"参数所示。远程调试是面向开发人员的浏览器功能，但已被各种信息窃取器利用以绕过浏览器安全功能（如Chrome应用绑定加密）并提取敏感数据，如cookie和凭据。

恶意软件详情

概述

Stealerium是一款功能完整的使用.NET编写的窃取器，能够外泄各种数据，包括浏览器cookie和凭据、信用卡数据（通过网页表单抓取）、来自游戏服务（如Steam）的会话令牌、加密钱包数据以及各种类型的敏感文件。

由于Stealerium是开源的并且已经运行了一段时间，有许多关于该恶意软件及其变体的优秀文章，包括SecurityScorecard的一篇博客。在本报告中，我们将仔细研究特别有趣或尚未广泛公开记录的功能（据我们所知）。我们将在本报告中涉及的一些功能包括：

• 基于Stealerium的恶意软件具有多种外泄媒介，包括一些不常见的媒介，如Zulip聊天和GoFile
• Stealerium使用动态阻止列表进行反分析
• Stealerium的功能包括支持可能的"性勒索"策略
• 与其他恶意软件家族的重叠

与其他恶意软件家族的重叠

与几乎所有开源恶意软件一样，起源和与其他恶意软件的重叠充其量是模糊的。Stealerium在Github上作为开源提供，以前地址为：https://github.com/Stealerium/Stealerium。此原始存储库后来从Github移除。但是，它被重新上传到这里：https://github.com/witchfindertr/Stealerium。

由于Stealerium是开源的，还有其他具有代码重叠的窃取器，如Phantom Stealer。Phantom Stealer被营销为"道德黑客"工具，用于"教育目的"，并在其网站hxxps://phantomsoftwares[.]site/home/上出售。

Phantom Stealer定价模型（来自Phantom Stealer网站）。

尚不清楚Phantom Stealer在多大程度上与Stealerium相关，但这两个家族共享非常大比例的代码重叠，并且Phantom Stealer很可能重用了Stealerium的代码。值得注意的是，我们分析的许多恶意软件样本暗示了Phantom Stealer和Stealerium，在它们的代码中引用了两者。例如，以下是Phantom Stealer样本的.NET命名空间列表，但在底部引用了"Stealerium"：

Phantom Stealer命名空间包括Stealerium。

我们分析的其他样本不包含对"Phantom"的引用，仅包含"Stealerium"，如下例所示：

Stealerium命名空间引用。

Stealerium和Phantom Stealer通常可以通过负责上传外泄数据的函数来区分。Stealerium在其摘要报告顶部打印"*Stealerium - Report:"，而Phantom Stealer在其摘要报告顶部打印"*Phantom stealer"：

Stealerium报告函数片段。

Phantom Stealer报告函数片段。

Proofpoint已识别出其他具有Stealerium代码重叠的家族，这些家族极有可能"借用"了Stealerium的代码。Seqrite记录的一个例子是Warp Stealer。

由于Phantom Stealer、Stealerium和Warp Stealer之间存在显著的代码重叠，Proofpoint将所有这些变体归为Stealerium标签下。除非一个变体在功能或代码上显著分歧，否则我们将继续将这些变体归为一组。

功能

当Stealerium首次执行时，它执行以下操作：

1. 运行一些反分析和反沙箱检查

2. 创建一个互斥体，如果无法创建互斥体则终止自身。这是恶意软件常用的检查，以确保在受害系统上一次只运行一个实例。

3. 在系统上创建一个目录，临时暂存最终将外泄的数据。此目录格式因样本而异，但通常格式为"C:\Users<user>\AppData\Local<random_hex_string><user_name>@<computer_name>_"。例如：

   C:\Users\Admin\AppData\Local\c742f9b4f1ad3336673662d7213a56ca\Paul@PaulPC_en-US\

   随机字符串是通过收集系统数据（如受害者的用户名和计算机名）并对数据进行MD5哈希处理得出的（可以在以下代码中看到）：

   收集系统信息并创建MD5哈希。

4. 检索并验证其配置

5. 继续执行其窃取器功能

Stealerium能够提取各种数据，似乎试图获取尽可能多的数据。此数据包括：

• 键盘记录和剪贴板数据
• 银行/信用卡数据（通过网页表单抓取）
• 浏览器cookie、缓存和存储的凭据
• 来自游戏服务（如Steam、Minecraft、BattleNet和Uplay）的会话令牌
• 电子邮件和聊天数据（Outlook、Signal、Discord等）
• 系统数据，如安装的应用程序、硬件信息和Windows产品密钥
• VPN服务数据（NordVPN、OpenVPN、ProtonVPN等）
• Wi-Fi网络信息和密码
• 加密钱包数据
• 被认为有趣的文件（如各种类型的图像、源代码、数据库和文档）

这里有几件事值得注意。首先，Stealerium在数据盗窃方面似乎不加区分。虽然一些窃取器可能针对特定数据类型，例如专注于浏览器表单数据或电子邮件数据，但Stealerium能够窃取更多种类的数据类型。

其次，该恶意软件有一个专注于色情相关数据的功能。它能够检测成人内容相关的打开的浏览器标签页，并拍摄桌面截图以及网络摄像头图像捕获。这很可能随后用于"性勒索"。虽然此功能在网络犯罪恶意软件中并不新颖，但并不常见。以下代码显示Stealerium首先检测打开的网页浏览器中是否存在成人内容（“NSFW”），然后拍摄桌面和网络摄像头截图：

成人内容主题功能。

恶意软件查询受害者的打开的浏览器窗口，以检查以下任何字符串是否出现在打开的网页标题中。这些字符串可由恶意软件的操作者配置：

成人内容主题搜索字符串。

数据外泄

一旦前面提到的数据被枚举并暂存，Stealerium能够以各种方式外泄数据：

SMTP

SMTP似乎是Proofpoint数据中目前观察到的基于Stealerium的恶意软件最常用的外泄方法。但值得注意的是，这在GitHub上的主要版本中不可用。此方法使用收件人地址（接收被盗数据的参与者控制电子邮件地址）和发件人地址。使用的发件人地址通常是威胁参与者欺骗的合法公司或个人。恶意软件收集的暂存数据被压缩成存档文件，附加到电子邮件中，并发送到收件人地址。值得注意的是，原始Stealerium代码可能不包含SMTP外泄功能，因此这是在最近基于Stealerium的恶意软件中看到的一个相当新的功能。

Discord

Stealerium可以通过Discord webhooks将暂存数据发送到Discord服务器。Discord webhooks实际上是轻量级机器人，通常用于日志记录和警报，但可能被滥用于数据盗窃。

Telegram

使用Telegram API和Telegram API密钥，Stealerium可以将数据外泄到参与者控制的Telegram账户。

Gofile

Stealerium还可以配置为将窃取的数据外泄到Gofile，这是一个具有免费层级账户上传文件的云存储解决方案。以下是来自Stealerium的代码摘录，显示GoFile外泄代码：

GoFile数据外泄。

简而言之，此代码从https://api.gofile.io/servers拉取GoFile服务器列表，并获取位于"eu"（欧盟）区域的服务器名称。然后通过GoFile API将外泄数据上传到此文件服务器。值得注意的是，Gofile有一个免费层级，因此这使其成为滥用和暂存外泄数据或附加有效负载的好方法：

GoFile免费层级。

Zulip Chat

也许最值得注意的外泄方法是通过Zulip，这是一个面向分布式团队的聊天服务。使用Zulip API，Stealerium可以将数据外泄到参与者控制的账户。以下是此代码的截图：

Zulip外泄。

Proofpoint在我们电子邮件威胁数据中看到的样本中未目睹使用Zulip聊天服务作为外泄方法，但值得注意的是此功能存在。

恶意软件配置和加密

Stealerium是高度可配置的，所有配置设置都存储在一个结构中。配置结构的示例如下所示：

Stealerium配置结构。

外泄和C2配置存储在这里，以及威胁参与者希望窃取的数据类型的配置。这些配置项还包含数据盗窃目标，如目标银行服务名称（如下所示）：

银行服务示例。

恶意软件的一些配置和字符串使用AES加密。Stealerium的配置包含一个AES密钥和盐，用于派生解密密钥，该密钥解密恶意软件的C2配置和其他数据。以下是Stealerium解密例程的摘录：

Stealerium解密函数。

反分析

Stealerium有许多反分析和反沙箱技巧，包括以下：

• 延迟其执行（生成随机睡眠间隔时间）以规避自动化沙箱
• 根据列表检查系统的目标用户名和计算机名
• 根据大型阻止IP地址列表检查目标IP地址
• 根据阻止GPU适配器名称列表检查目标GPU
• 根据阻止列表检查目标的机器GUID
• 包含反仿真功能（执行计时指令并检查增量）
• 检查正在运行的阻止进程和服务
• 检查恶意软件可执行文件是否从其预期路径启动
• 如果任何这些检查失败，能够"自毁"（删除其文件并终止其进程）

这些技术都不是新的或特别先进，但值得注意的是Stealerium可以使用多少种不同的技术。

Stealerium一个特别有趣的功能是它可以从公共存储库动态下载新的阻止列表。至少在我们分析的几个样本中，不同的反分析阻止列表是从单个GitHub存储库下载的：

阻止列表示例。

这些列表似乎是由GitHub上的安全研究人员维护的公共阻止列表。

结论

由于Stealerium是开源且免费可用的，并且能够通过多种媒介外泄大量敏感数据，Stealerium（及其变体）是一个值得关注的窃取器。

2025年5月至7月期间观察到的最近活动表明，Stealerium继续在机会性操作中使用。TA2715与Stealerium的重新使用有关，这引发了更广泛的威胁狩猎，并揭示了与多个不同威胁集群相关的其他活动。

组织应监控涉及"netsh wlan"、可疑使用PowerShell防御程序排除项和无头Chrome执行的活动，这些与感染后行为一致。此外，组织应监控离开网络的大量数据，特别是流向组织不允许使用的服务或URL的数据，或完全阻止到这些服务的出站流量。

Emerging Threats规则

• 2037800 - ET MALWARE Win32/Stealerium Stealer Checkin via Discord
• 2063893 - ET MALWARE Stealerium CnC Exfil via Discord (POST)
• 2047905 - ET MALWARE Observed Malicious Powershell Loader Payload Request (GET)
• 2864110 - ETPRO MALWARE Stealerium/Phantom Stealer Exfil via HTTP (POST)
• 2864111 - ETPRO MALWARE Stealerium/Phantom Stealer Exfil via TCP
• 2864112 - ETPRO MALWARE Stealerium/Phantom Stealer Exfil via SMTP

示例危害指标