隐秘监视者通过Discord Webhooks窃取Windows系统数据

K7实验室调查了Cmimai Stealer，这是一种基于Visual Basic脚本（VBS）的信息窃取程序，于2025年6月出现，使用PowerShell和原生Windows脚本秘密外传数据。这是网络安全环境中的最新发展。

该恶意软件最初在一条推文中被强调，作为一个轻量级威胁行为者工具运行，规避执行策略，生成临时PowerShell脚本，并在通过Discord webhooks传输之前系统性地收集系统和浏览器元数据。

值得注意的是，2025年6月28日出现了另一个样本，具有不同的webhook URL，表明可能存在变种或活动演变。

Cmimai Stealer的核心功能

窃取程序通过在系统的%TEMP%目录中名为“vbs_reporter_log.txt”的临时文件中记录执行事件来初始化，然后通过Win32_OperatingSystem类查询Windows管理工具（WMI）以提取关键系统详细信息，如操作系统版本、标题、当前用户名、计算机名称和时间戳。

vbs_reporter_log.txt

这些数据被格式化为JSON有效载荷，并使用WinHttpRequest.5.1或回退到通过HTTPS的MSXML2.XMLHTTP对象进行发送，确保可靠地外传到攻击者控制的Discord频道。

脚本的浏览器元数据收集模块动态创建并执行“vbs_ps_browser.ps1”，该模块解析基于Chromium的浏览器（如Google Chrome和Microsoft Edge）的Local State JSON文件，检索用户配置文件名称、电子邮件地址和加密的主密钥（base64编码为“encrypted_key”或“app_bound_encrypted_key”）。

虽然这使恶意软件有可能解密敏感工件（如登录数据或Cookie）以进行凭据盗窃，但分析的样本缺少实际解密或进一步外传的模块，表明其设计侧重于侦察而非全面数据掠夺。

此外，屏幕捕获组件部署“vbs_ps_diag.ps1”，利用.NET程序集（包括System.Drawing和System.Windows.Forms）对主显示器进行截图，将其压缩为70%质量的JPEG（小于8MB以符合Discord的上传限制），并将其集成到webhook有效载荷中。

通过一个无限循环实现持久性，该循环每60分钟重新激活诊断报告，从而实现持续监视，无需系统重启或高级规避技术。

威胁影响

从防御角度来看，Cmimai Stealer的操作足迹提供了多个检测向量，包括异常父子进程链，其中wscript.exe生成具有绕过执行策略和隐藏窗口样式的powershell.exe，如在命令“powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File vbs_ps_browser.ps1”（用于浏览器抓取）或“vbs_ps_diag.ps1”（用于屏幕截图捕获）中所见。

脚本中存在文本“Cmimai Stealer”

文件系统指标包括临时工件，如上述PowerShell脚本、日志文件和图像输出（如%TEMP%中的“vbs_diag_*.jpg”）。

网络遥测显示到discord.com/api/webhooks端点的HTTPS流量具有独特的用户代理字符串“Cmimai Stealer VBS UI Rev”，便于在端点或网关上基于签名进行阻止，而YARA规则可以搜索强调WMI查询和Discord钩子的脚本模式。

尽管缺乏强大的功能，如重启持久性、加密通信或直接凭据解密，但这种信息窃取程序作为数据窃贼和第二阶段侦察资产的双重效用强调了其在多阶段攻击中的潜力，尚未归因于任何已建立的恶意软件家族。

建议防御者监控来自敏感系统的意外Discord绑定流量，并标记高风险脚本执行以减轻扩散。

妥协指标（IoCs）