DarkCloud信息窃取木马重装上阵：窃取凭证、加密货币与联系人数据

eSentire威胁响应单元（TRU）的最新安全研究揭示，一种名为DarkCloud的危险信息窃取恶意软件突然兴起，网络犯罪分子正利用它窃取私人数据。

TRU研究人员在2025年9月针对制造业客户的未遂攻击中，发现了DarkCloud信息窃取木马的最新版本4.2。DarkCloud并非新生恶意软件，但已完全使用VB6编程语言重写。该恶意软件过去在俄罗斯网络犯罪论坛XSS.is上出售，该论坛于2025年7月被执法部门关闭。

如今，该恶意软件通过其自有网站darkcloud(.)onlinewebshop(.)net出售，并通过Telegram消息应用由用户@BluCoder提供。

钓鱼诱饵

eSentire TRU解释说，攻击始于一封看似关于财务信息的钓鱼邮件，附带恶意压缩文件。该邮件由“procure@bmuxitq(.)shop”发送，主题为“Swift Message MT103 Addiko Bank ad: FT2521935SVT”。附带的恶意压缩文件名为“Swift Message MT103 FT2521935SVT.zip”。

研究人员指出，“钓鱼邮件仍然是恶意软件传播的主要载体”，这意味着这些伪造邮件仍是该软件进入系统的主要方式之一。研究人员在2025年9月拦截了这些垃圾邮件，并阻止了DarkCloud信息窃取木马向其客户的传播。

DarkCloud信息窃取木马窃取什么？

该恶意软件旨在窃取各种敏感信息，包括浏览器密码、信用卡号、网站cookie、FTP登录详情、键盘记录，甚至剪贴板内容。

它还针对文档和电子表格等文件（包括.txt、.pdf、.doc和.xls等扩展名）、加密货币钱包，并从电子邮件客户端（包括Thunderbird、MailMaster和eM Client）提取联系人信息。所有被盗数据随后通过Telegram、FTP、电子邮件或使用PHP脚本的Web面板等渠道发送给犯罪分子。

对抗DarkCloud信息窃取木马

eSentire TRU不仅分析了该威胁，还发布了两个有用工具来帮助其他安全研究人员。一个工具可以提取恶意软件的配置详情，另一个是基于Python的脚本，可以解密其秘密代码。研究人员建议使用能够阻止可疑文件（如内含可执行程序的压缩文件夹）的电子邮件保护来防范此类威胁。