网络安全公司CYFIRMA向网络安全新闻网站披露,新发现一款名为PupkinStealer的信息窃取型恶意软件。这款基于.NET框架开发的C#程序虽然轻量但功能完备,专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。
该恶意软件利用Telegram Bot API进行隐蔽数据传输,反映出攻击者日益倾向于滥用合法平台实施恶意活动。PupkinStealer最早于2025年4月被发现,其针对性数据收集特性使其区别于其他无差别攻击的恶意软件。
分析显示,该软件开发者代号为"Ardent",其选择Telegram作为命令控制渠道,正是看中该平台在黑客群体中因匿名性和易用性而日益流行的特点。
核心功能特性
PupkinStealer设计强调快速数据收集,未采用复杂混淆或持久化机制,主要功能包括:
- 从Chromium内核浏览器(Google Chrome、Microsoft Edge、Opera、Opera GX和Vivaldi)提取并解密保存的登录凭证
- 通过浏览器Local State文件获取解密密钥,利用Windows数据保护API解密SQLite格式的Login Data数据库
- 扫描受害者桌面特定扩展名文件(.pdf、.txt、.sql、.jpg、.png)并复制到临时目录
该软件还会复制Telegram的tdata文件夹获取会话文件,通过正则表达式提取Discord身份验证令牌,并截取1920×1080分辨率的桌面截图。所有窃取数据最终会压缩成包含元数据(用户名、公网IP、Windows安全标识符)的ZIP包,通过定制API URL发送至攻击者控制的Telegram机器人。
技术细节分析
这款32位Windows GUI程序体积为6.21MB,采用.NET框架的AnyCPU架构,兼容x86和x64环境。其使用Costura库嵌入压缩DLL,导致.text区段熵值高达7.998。主要技术组件包括:
- ChromiumPasswords类:在%TEMP%\[用户名]\Passwords目录创建浏览器专属文本文件,使用AES-GCM算法解密密码
- FunctionsForStealer和FunctionsForDecrypt类:从Local State文件获取并解密浏览器密钥
- GrabberDesktop方法:按预设扩展名筛选桌面文件,静默处理错误避免触发检测
- Telegram和Discord模块:递归复制tdata文件夹,通过正则表达式提取Discord令牌
- 截图压缩例程:使用CP866编码和最高压缩级别(9级)打包数据
Telegram外传机制
数据最终传送至名为botKanal(用户名:botkanalchik_bot)的Telegram机器人,其命名可能源自俄语"канал"(频道)。ZIP包附注包含详细的受害者信息,包括用户名、IP地址、安全标识符和模块执行状态。代码中"Coded by Ardent"的标识及Telegram元数据中的俄语文本,暗示开发者可能具有俄罗斯背景。
防护建议
针对此类低复杂度但高效的窃密软件,建议采取以下防护措施:
- 提高用户意识:警惕来源不明的文件,避免点击可疑链接
- 安全软件更新:部署正规杀毒软件,及时更新所有应用程序
- 网络流量监控:监测异常出站连接,特别是Telegram API通信
- 凭证管理:使用密码管理器替代浏览器存密,在Telegram和Discord启用多因素认证
- 安全文化建设:定期开展社会工程学和恶意软件防范培训
该软件的出现反映了当前恶意软件即服务(MaaS)模式下,模块化低门槛窃密工具在暗网市场的泛滥趋势,攻击者可快速通过凭证窃取、会话劫持和数据转售获利。
