Katz窃取者 | 强大的恶意软件即服务(MaaS)肆虐窃取凭证与加密资产

Katz窃取者是一款功能丰富的信息窃取恶意软件,采用MaaS模式运营。文章详细分析了其技术架构、感染链、数据窃取机制、加密绕过技术以及C2通信行为,揭示了这款新型恶意软件的完整运作流程。

Katz窃取者 | 强大的MaaS肆虐窃取凭证与加密资产

Katz窃取者是一款功能丰富的信息窃取恶意软件,以恶意软件即服务(MaaS)模式进行营销和运营。该窃取程序于2025年初发布,迅速在信息窃取领域获得关注。

营销与MaaS平台

Katz窃取者作为商业分发的MaaS平台运营。开发者向"会员"或"客户"收取前期费用提供服务,会员可通过基于Web的管理面板生成和配置自定义窃取程序载荷。

该面板还作为窃取程序的数据后端,允许处理和搜索窃取的受害者数据。攻击者还能以多种方式导出和打包被盗数据,便于进行勒索。

Katz窃取者在多个网络犯罪论坛以及自有门户网站进行营销,重点宣传其对众多应用程序和数据类型的强大窃取能力。当前广告宣传的功能包括:

  • 浏览器凭证窃取
  • 加密货币钱包扫描
  • 消息会话劫持
  • 屏幕截图捕获
  • 剪贴板监控

感染与规避战术

Katz窃取者采用多阶段感染链,通常从通过钓鱼邮件或木马化下载传递的恶意压缩文件(.gz)开始。这些文件包含高度混淆的JavaScript投放器,执行时会启动带有-WindowStyle Hidden标志的PowerShell命令以下载看似无害的图片文件。

该图片实际上使用隐写术武器化,包含base64编码的字符串。脚本扫描图片中的特定标记(如«INICIO»和«FIM»),提取字符串并完全在内存中解码,确保此阶段不会有恶意载荷写入磁盘。

解码后的载荷通过滥用合法的Windows工具cmstp.exe实现UAC绕过获取提升权限,然后创建计划任务确保持久性。

信息窃取功能

Katz窃取者能够从几乎所有常见应用程序或服务中窃取文件、令牌和凭证,主要功能包括:

  1. 浏览器数据窃取

    • 支持Chrome、Edge、Brave、Firefox等主流浏览器
    • 窃取保存的密码、登录会话cookie、会话令牌、自动填充数据
    • 能够解密某些加密的浏览器数据

  2. 消息和游戏平台

    • 窃取Discord、Telegram等安全通讯平台的会话令牌
    • 窃取Steam等知名游戏网站凭证

  3. 其他客户端

    • 邮件客户端(Outlook、Windows Live Mail等)
    • FTP和VPN客户端
    • 已知WiFi网络配置

  4. 多媒体捕获

    • 定时或即时屏幕截图
    • 音频和视频捕获
    • 监控剪贴板活动

  5. 加密货币重点

    • 针对Exodus和Coinomi等多币种钱包
    • 窃取Dash、Dogecoin、Litecoin等特定钱包数据
    • 扫描150多种加密货币浏览器扩展

浏览器注入过程与加密绕过

Katz窃取者DLL注入浏览器进程后,可以利用浏览器的安全上下文和可用API提取敏感数据,绕过某些现代浏览器安全措施:

  1. Chromium浏览器

    • 定位浏览器的"Local State"文件获取主加密密钥
    • 使用Windows加密API解密该密钥
    • 解密所有保存的密码和cookie

  2. Firefox浏览器

    • 定位Firefox配置文件目录
    • 收集logins.json和key4.db等核心文件
    • 离线解密密码

C2与网络行为

成功感染后,Katz窃取者建立持久C2通道,主要特点包括:

  • 每个窃取程序实例包含硬编码C2 IP地址
  • 使用HTTP/HTTPS进行主要功能通信
  • 设计为持续渗出数据,而非一次性窃取
  • 凭证和令牌等文本数据通过HTTP Post逐行发送
  • 较大数据块(如截图、钱包文件)分块传输

结论

Katz窃取者代表了凭证窃取与现代恶意软件设计的强大组合,具有以下特点:

  • 跨浏览器、消息系统和加密数据的多面窃取能力
  • 隐蔽的交付方法(内存暂存、伪隐写术、进程注入和空洞化)
  • 低门槛导致使用量显著增加

然而,Katz窃取者仍然依赖社会工程和用户交互来实现成功入侵。SentinelOne Singularity能够检测和预防与Katz窃取者相关的恶意行为和工件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次