攻击者部署LeakyInjector和LeakyStealer劫持加密货币钱包和浏览器信息

网络安全研究人员在Hybrid Analysis发现了一个复杂的两阶段恶意软件活动，针对加密货币钱包用户和浏览器数据。新发现的恶意软件组合被命名为LeakyInjector和LeakyStealer，通过其高级规避技术和全面数据窃取能力，对数字资产安全构成重大威胁。

高级注入技术规避检测

LeakyInjector作为攻击的初始阶段，使用低级Windows API将其有效载荷注入合法的explorer.exe进程。这种注入方法帮助恶意软件避免被监控标准进程创建的安全软件检测到。注入器使用ChaCha20算法以加密格式存储LeakyStealer，然后解密并部署到目标系统。

两个恶意软件组件都使用了颁发给合肥怒旦聚匡网络技术有限公司的有效扩展验证证书进行签名，这赋予了它们可以绕过初始安全检查的合法性。

恶意软件通过在AppData目录中将自己复制为"MicrosoftEdgeUpdateCore.exe"并在Run键下创建注册表项来建立持久性。这种伪装成Microsoft Edge更新组件的方式允许恶意软件在系统启动时自动运行，而不会立即引起用户的怀疑。

LeakyStealer展示了对加密货币资产的广泛针对性，扫描受感染系统以寻找流行的钱包应用程序，包括Electrum、Exodus、Atomic、Sparrow、Ledger Live、Guarda和BitPay。

恶意软件还扩展到基于浏览器的加密货币扩展，如MetaMask、Phantom、Coinbase Wallet和Trust Wallet，这些在加密货币用户中越来越受欢迎。

除了加密货币盗窃外，恶意软件还从Google Chrome、Microsoft Edge、Brave、Opera和Vivaldi收集浏览器历史文件。这些浏览数据可以揭示金融账户、交易平台和其他对攻击者有价值的敏感信息。

被盗信息被外传到Everstead的命令与控制服务器。攻击组通过使用浏览器相关用户代理的HTTP POST请求来实现这一点，使其与常规网络流量混合。

LeakyStealer实现了多态引擎，使用硬编码字节序列动态调整其内存占用。这种技术试图规避依赖静态签名的基于内存的检测系统。

恶意软件通过对C驱动器卷序列号与常量值进行XOR运算来计算每个受感染机器的唯一Bot ID，使攻击者能够跟踪个体受害者。

该窃取程序包含两个后门命令，允许远程攻击者下载和执行其他文件，或在受感染系统上运行Windows命令。

恶意软件与其命令服务器保持定期通信，定期发送信标以接收指令并外传被盗数据。

安全研究人员确定了七个使用相同证书基础设施的相关样本，表明这是一个针对全球加密货币用户的活跃持续活动。

IoC指标：

SHA256哈希：

创建的文件：

注册表值：

C2服务器：