為了擴大跨平台感染效益,並讓安全軟體無從偵測,當前許多駭客開始採用 Golang(又稱 Go)語言撰寫資訊竊取木馬程式(Info Stealer)。繼兩個多月前,網路安全商 SEKOIA 在官方部落格上揭露基於 Golang 的「Auro Stealer」木馬之後,網上又再度出現用 Golang 撰寫的全新「Titan Stealer」木馬。
當前資訊竊取木馬程式非常泛濫,由於該惡意軟體極具自我偽裝能力,能有效規避許多安全防護機制的偵測網,因此成為當前駭客竊密的主要手法。如今,竊密駭客開始將目光聚焦在 Golang 語言上,全因駭客可利用該語言輕鬆創建可以運行在 Windows、Linux 及 macOS 等不同作業系統環境的跨平台惡意軟體。不僅如此,透過 Golang 編譯的二進位檔非常小,益使安全軟體更難以偵測。
日前,安全分析公司 Uptycs 安全研究人員 Karthickkumar Kathiresan 及 Shilpesh Trived 在最新官方部落格文章中指出,他們發現駭客在自己的 Telegram 頻道上宣傳他們用 Golang 撰寫的「Titan Stealer」竊密木馬程式。
駭客在宣傳中自吹自擂表示,該木馬能從受感染的 Windows 主機上竊取各種不同的資訊,包括瀏覽器及加密錢包憑證、FTP 用戶端軟體明細、擷圖、系統資訊以及其他檔案。
目前 Titan Stealer 木馬所鎖定的主流 Web 瀏覽器包括 Google Chrome、Mozilla Firefox、Microsoft Edge、Yandex、Opera、Brave、Vivaldi、7 Star Browser 及 Iridium Browser 等。該木馬挑中的加密錢包則有 Armory、Atomic、Bytecoin、Coinomi、Edge Wallet、Ethereum、Exodus、Guarda、Jaxx Liberty 及 Zcash 等。
駭客特別為客戶提供方便的 Titan Stealer Builder,讓顧客自行定義該惡意軟體的二進位檔,以便能支援特定功能,並決定想從受害主機上竊取的資訊類型。該惡意軟體在執行時會採用一種名為「執行程序掏空」(Process Hollowing)的技術,能將惡意封包負載植入到名為 Applaunch.exe 合法程序(亦稱為 Microsoft .NET ClickOnce Launch Utility)的記憶體之中。
▲ Titan Stealer Builder。(Source:Uptycs)
該惡意軟體還能收集受感染主機上已安裝的應用程式列表,並擷取與 Telegram 桌面 App 相關的資料。駭客接著會將這些偷到手的資訊經 Base64 編碼成壓縮檔,然後傳送到自己掌控的遠端伺服器上。
至於該如何防範 Titan Stealer 木馬,上述兩位 Uptycs 安全研究人員建議,首先應定期更新密碼,以降低大規模攻擊的可能風險;其次,避免從不可信賴的網站下載 App;最後,避免點取垃圾郵件連結或附檔。雖然有點老生常談,但卻是最基本的安全防護之道。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
