Katz窃密者 | 强大的MaaS服务窃取凭证与加密资产

Katz Stealer是一款功能丰富的信息窃取恶意软件,以恶意软件即服务(MaaS)形式运营。文章详细分析了其多阶段感染链、浏览器注入与加密绕过技术、加密货币盗窃功能及C2通信行为,并提供了相关威胁指标(IOCs)。

Katz窃密者 | 强大的MaaS服务窃取凭证与加密资产

Katz Stealer是一款功能丰富的信息窃取恶意软件,以恶意软件即服务(MaaS)形式进行营销和运营。它于2025年初推出,并迅速在信息窃取领域引起关注。

该窃密软件具有强大的凭证和数据发现功能,以及现代规避和反分析特性。它用于窃取广泛的个人或敏感信息,包括密码、加密货币密钥、私人消息令牌、浏览器会话数据等。

Katz Stealer通过流行的网络犯罪论坛以及更广泛的网络(Telegram和Discord)进行营销,并为订阅者提供基于Web的管理面板。该界面用于生成自定义有效载荷、管理被盗数据和日志,以及执行其他高级活动管理。Katz Stealer服务的交钥匙性质,以及可访问的定价,导致各种能力水平的威胁行为者迅速采用。在本文中,我们概述了Katz Stealer的一般功能和基础设施。

营销与MaaS平台

Katz Stealer作为商业分发的MaaS(恶意软件即服务)平台运营。与RaaS操作类似,Katz Stealer的开发者向其“附属机构”或“客户”提供该服务,收取前期费用。附属机构可以访问基于Web的管理面板,用于生成和配置窃密器有效载荷的自定义版本。

在构建过程中,可以切换各种有效载荷选项,包括虚拟机主机检查和不同的盗窃模块。有效载荷的传递格式也可以在此处配置。此外,该面板充当窃密器的数据后端,允许处理和分析被盗的受害者数据。攻击者还能够以多种方式导出和打包被盗数据,便于进行勒索。

Katz Stealer在许多基于Web的犯罪论坛以及其自己的门户网站上进行营销。

卖家强调Katz支持从众多应用程序和数据类型中窃取数据的强大功能。目前为Katz Stealer宣传的功能集包括:

该窃密器还在Telegram和Discord社区中大量宣传。卖家接受大多数稳定加密货币(BTC、XMR)的付款。截至本文撰写时,访问Katz Stealer的定价如下:

  • 6个月 – 480.00美元
  • 3个月 – 270.00美元
  • 1个月 – 100.00美元

感染与规避策略

Katz Stealer利用多阶段感染链。Katz活动最常见的是通过钓鱼邮件或特洛伊木马下载向受害者传递恶意存档文件(.gz)。这些电子邮件(或恶意下载)包含一个混淆的JavaScript投放器。JavaScript代码高度混淆,并经过多次转换以规避静态分析。

执行时,JavaScript投放器启动PowerShell命令,通常带有-WindowStyle Hidden标志,以进一步规避用户检测。此PowerShell脚本从远程服务器下载一个看似无害的图像文件。然而,该图像使用隐写术进行了武器化。分析显示,图像包含嵌入在特定标记之间的base64编码字符串。这些标记在不同样本中可能有所不同。

一旦有效载荷被解码,Katz Stealer通过滥用cmstp.exe(一个合法的Windows实用程序)来绕过用户账户控制(UAC),以获取提升的权限。然后,它通过创建计划任务来建立持久性,确保恶意软件在系统重启后仍然存在。

第三阶段Katz Stealer有效载荷是.NET加载器,负责在进一步执行之前进行最终的地理围栏和反分析检查。Katz Stealer检查本地系统的区域设置、键盘布局和默认语言设置,以排除在独联体(Commonwealth of Independent States)内的使用,如俄罗斯、白俄罗斯和其他前苏联国家。

此外,恶意软件执行一系列检查以确定是否在虚拟或沙箱/分析环境中执行。它从Windows注册表中读取各种BIOS标识符,寻找与常见VM平台(如VirtualBox、VMWare)相关的字符串。还检查默认分辨率和系统运行时间,因为这些对于指示分析人员或研究人员环境很有价值。

感染的下一个阶段通过进程镂空在MSBuild.exe(Microsoft Build Engine)中生成主Katz Stealer模块。首先,Katz Stealer丢弃一个虚拟INF文件,然后调用cmstp.exe执行。这是一种成熟的UAC绕过技术,允许攻击者完全绕过UAC,同时避免额外用户交互的提示。

恶意软件此时还通过创建计划任务来建立持久性。该任务设置为在每次系统重启时触发。主模块通过进程镂空在MSBuild.exe中执行。前一阶段的加载器生成一个MSBuild.exe实例,保留一部分内存以植入和执行主Katz Stealer模块。在此上下文中运行,提升并在MSBuild.exe的特权内存空间中,恶意软件能够以SYSTEM级访问操作,隐藏于表面级检测工具。

一旦激活,Katz Stealer将自身注入目标进程以开始收集数据。Katz heavily专注于浏览器数据,并支持多种浏览器。Katz不是拦截现有的用户浏览器会话,而是以无头模式启动目标浏览器进程,确保其对用户隐藏。一个专门的DLL(由投放器写入磁盘的%temp%)被注入到无头浏览器进程中,允许恶意软件在提升的上下文中完全访问敏感的浏览器数据。

信息窃取功能

Katz Stealer能够从几乎每个常见应用程序或服务中窃取文件、令牌和凭证,这些应用程序或服务可能是典型用户拥有的。该信息窃取器可以从所有常用Web浏览器(Chrome、Edge、Brave、Firefox和各种Chromium/Gecko衍生版本)中收集数据。保存的密码、登录会话cookie、保存的会话令牌、自动填充数据(包括存储的信用卡CVV数据)都是目标。Katz还能够解码某些情况下的加密浏览器数据,如下一节所述。

消息传递和游戏平台也是目标,包括从安全消息平台(如Discord、Telegram)收集游戏会话令牌和用户账户数据,以及知名游戏网站和社区(如Steam)的凭证。

此外,Katz Stealer针对广泛的电子邮件、FTP和VPN客户端。恶意软件解析并提取来自Outlook、Windows Live Mail、Foxmail、Eudora和其他邮件客户端的存储消息和凭证。Katz提取并记录与VPN客户端、FTP软件和已知WiFi网络相关的任何配置文件和存储凭证。

Katz Stealer还能够捕获截图(计划或临时)、音频和视频。它监控剪贴板活动,寻找类似密码、通行密钥和加密货币钱包地址的字符串。攻击者经常结合这些功能来捕获一次性密码或其他在目标系统屏幕上显示的时间敏感信息。最后,Katz Stealer heavily专注于加密货币钱包。私钥、钱包文件和发现的种子短语都被捕获,用于广泛的加密货币钱包。

浏览器注入过程与加密绕过

Web浏览器存储的数据(密码、自动填充数据、cookie)是Katz Stealer的主要目标。恶意软件能够绕过一些现代浏览器安全措施。一旦Katz Stealer DLL被注入浏览器进程,信息窃取器可以使用浏览器自身的安全上下文和可用API提取敏感数据。

这允许Katz Stealer绕过一些试图混淆敏感数据的加密障碍。对于基于Chromium的浏览器,Google在2024年引入了ABE(应用绑定加密),它将存储密码和cookie的解密与登录的操作系统用户绑定。Katz Stealer能够通过程序化地伪装成浏览器一旦注入来击败这一点。恶意软件定位浏览器的“Local State”文件(负责存储登录用户浏览器会话数据的主加密密钥),并使用Windows加密API解密该密钥。

现在有了明文主密钥,恶意软件随后可以从浏览器的SQLite数据库中解密所有保存的密码和cookie。这些提取的密钥作为文本文件(例如decrypted_chrome_key.txt)保存到当前用户的%APPDATA%文件夹中。

这些存储的文件可以在以后需要解密进一步或新的浏览器会话数据时调用。这种技术似乎(至少部分)借用了开源项目ChromeKatz,该项目允许通过类似在浏览器内冒充的方法转储Chrome凭证。

对于Firefox和其他基于Mozilla/Gecko的浏览器,Katz Stealer定位Firefox的配置文件目录,并收集包含所有浏览器用户和会话信息的核心文件。这包括保存的用户名和密码(logins.json)以及保存所有本地登录解密密钥的数据库(key4.db)。通过收集所有原始登录、密钥和会话数据,攻击者可以离线破解或解密密码。

加密货币盗窃功能

Katz Stealer搜索受害者的文件系统,寻找与现代桌面加密货币钱包应用程序相关的任何文件。恶意软件针对来自多币种钱包(如Exodus和Coinomi)的数据,以及特定于Dash、Dogecoin、Litecoin、Monero(XMR)、Bitcoin和Ethereum的钱包数据。窃密器使用已知文件路径、文件夹名称和扩展名的组合来定位相关数据。一旦识别,恶意软件将钱包文件、私钥和备份的种子短语复制到其自己的临时文件夹。

Katz Stealer还能够从基于加密货币的单个浏览器扩展中窃取数据。Katz Stealer包含超过150个特定的浏览器扩展“ID”,这些ID对应于加密货币钱包扩展(例如MetaMask、Phantom、Binance)。恶意软件扫描浏览器的扩展数据以寻找这些ID,并在找到时收集所有相关文件和数据,如扩展日志、钱包库文件和任何缓存的种子短语。对于更硬化的浏览器如Brave,Katz包含定制的代码,可以定位Brave的钱包数据并直接处理。

C2与网络行为

一旦受害者成功感染,Katz Stealer建立一个活跃且持久的C2通道。每个窃密器实例包含一个硬编码的C2 IP地址。感染后,恶意软件调用C2并通过活动唯一ID标识自身。

恶意软件继续向C2服务器发送信标,以确保一致和可用的连接。如果C2无法访问,植入程序继续向C2发送信标,直到可以建立连接或收到某种终止命令。大多数分析的Katz窃密器样本包含硬编码的C2 IP地址,而不是更“弹性”的选项,如以DNS为中心的C2通信。

Katz Stealer内的大部分C2通信是基于IP的,使用HTTP/HTTPS进行主要功能。有多个攻击者控制的域用于控制主恶意软件基础设施并托管带有管理面板的MaaS组件。

Katz Stealer不是“一次性”信息窃取器;它设计为持续窃取受害者的数据。恶意软件不仅提取在感染时目标系统上找到的数据,还提取更新、更改或新引入的数据。凭证、令牌和纯文本数据可以通过HTTP Post逐行发送到C2服务器。较大的数据块如截图、视听数据和加密货币钱包通过类似方法传输,但被分成块,然后在服务器端重建。

一旦恶意软件操作者确定窃密器已收集所有目标和所需数据,他们能够调用步骤以移除事件痕迹。恶意软件移除所有用于存储本地收集数据的临时文件和文件夹;任何输出日志或临时数据文件被擦除,所有注入的进程被终止,从内存中移除恶意代码。

结论

Katz Stealer代表了凭证盗窃和现代恶意软件设计的强大组合。它具有跨浏览器、消息系统和加密数据的多方面窃取能力,以及隐蔽的传递方法(内存中暂存、伪隐写术、进程注入和镂空)。这一功能集和低入门门槛导致Katz Stealer使用的显著增加,以及该工具作为可行信息窃取平台的整体采用率上升。

然而,Katz Stealer仍然依赖社会工程和用户交互来实现成功的入侵。这是新旧恶意技术的恶意混合。SentinelOne Singularity能够检测和预防与Katz Stealer相关的恶意行为和工件。

威胁指标(IOCs)

文件 SHA-1

0076795b220fa48c92b57994b015119aae8242ca
0c1f2ee0328e0ed7e4ec84ef452bffa1749f5602
17ce22264551bd32959790c4c2f57bec8304e2ce
1976a1a05a6a47ac33eb1cfc4e5a0eb11863f6eb
1b6b072df8f69a47fd481fa9be850c0063fd5b93
1d5ef46357eb2298b1c3c4faccbaafa729137613
1ee406eb68ab92bad77cf53df50c4ce6963e75fd
26e089bed61c0d89e5078f387bd55dd5895d4fc0
29daa866c85fc1e302c40a73bc2a0772aa285295
2f2ced67e87101f4d1275456f0861209809492fc
3cf4f3ababa912e0e6bb71ab5abb43681d8e7ecc
47ea1c41f79f775f0631191ee72852c1bfb61a7e
4e69cb16a3768733d94bb1b5d8f1556d0bddd09b
4eeda02db01cdf83948a83235c82e801522efa54
5179dbf5e9fd708f6e6df8b4913f21c3b78d5529
5492947d2b85a57f40201cd7d1351c3d4b92ae88
571b3681f7564236b7527d5b6fe14117f9d4de6d
5de014856702b9f1570944e8562ce283f7cd0a64
6351b5505dc671d143d5970eb08050d2f7344149
680984e43b76aa7a58ed9b617efe6afcb1f04bb7
6d88a5f0021278c2c3a56c177f39f4a31f286032
76bb7ffe523f594308ecd482db4f32047905c461
80f1b8b27833db614d3f7c2a389aceb033b8ce80
82dc7c0ca39f114c333caae9a6931a2a1c487ee5
8c2422ebab77a0de81d2e46e1326d8912b099018
9becb041aedc7c6aafeb412b4b91788e1df65b38
9c60a2b4764b7b5e3a6c7f20036490a539996d8a
a0717a486b4e037871c4657cf353cd298f13601f
b3d574dfb561f5439930e2a6d10917f3aa58c341
b40e56439d4dcdc238b8254adbd8862c73ca34bc
b61f92613dc911609b78a1e83c5baadc7e289dbc
b744179d3304d1e977e680502d201b7df49cb188
bbf2a5fdb039366b3f9eca603bf08ae92c43c0ef
cc800e4977d76c38656f3f60c5ed5f02df6a2f7b
ce19aa5eb7fce50dd94b5f740d162f8d9b057fde
da5ed6b939f51370709f66cbf0d8201ec8cd58b0
dffc1167399631ed779b5698d0ac2d9ea74af6c8
dffddd2fb7b139d2066284c5e0d16909f9188dc2
e26d65d8c25b0be7379e4322f6ebcadecbb02286
e78f942ca088c4965fcc5c8011cf6f9ee5c2a130
fb4792306f2cf514e56bc86485920b8134954433

网络通信

172.67.146[.]103
185.107.74[.]40
195.182.25[.]71
31.177.109[.]39
80.64.18[.]219
katz-panel[.]com
katz-stealer[.]com
katzstealer[.]com
pub-ce02802067934e0eb072f69bf6427bf6.r2[.]dev
twist2katz[.]com
Zxczxczxczxc.twist2katz[.]com

OSINT

用户名:
Katzadmin
KatzStealer
@katzst
@katzcontact
@katzadmin

qTOX ID:
375AB62BD333F80905E612DB71BEE06660C40F00AAF393FD7F8605DF5761E47670B6578C9410

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次