核心内容摘要
《崩坏:星穹铁道》姬子:烈焰的拥抱,星辰的守护者
网络安全公司CYFIRMA向网络安全新闻网站披露新发现一款名为PupkinStealer的信息窃取型恶意软件。
这款基于.NET框架开发的C#程序虽然轻量但功能完备专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。
该恶意软件利用Telegram Bot API进行隐蔽数据传输反映出攻击者日益倾向于滥用合法平台实施恶意活动。
PupkinStealer最早于2025年4月被发现其针对性数据收集特性使其区别于其他无差别攻击的恶意软件。
分析显示该软件开发者代号为Ardent其选择Telegram作为命令控制渠道正是看中该平台在黑客群体中因匿名性和易用性而日益流行的特点。
核心功能特性PupkinStealer设计强调快速数据收集未采用复杂混淆或持久化机制主要功能包括从Chromium内核浏览器Google Chrome、Microsoft Edge、Opera、Opera GX和Vivaldi提取并解密保存的登录凭证通过浏览器Local State文件获取解密密钥利用Windows数据保护API解密SQLite格式的Login Data数据库扫描受害者桌面特定扩展名文件.pdf、.txt、.sql、.jpg、.png并复制到临时目录该软件还会复制Telegram的tdata文件夹获取会话文件通过正则表达式提取Discord身份验证令牌并截取1920×1080分辨率的桌面截图。
所有窃取数据最终会压缩成包含元数据用户名、公网IP、Windows安全标识符的ZIP包通过定制API URL发送至攻击者控制的Telegram机器人。
技术细节分析这款32位Windows GUI程序体积为
21MB采用.NET框架的AnyCPU架构兼容x86和x64环境。
其使用Costura库嵌入压缩DLL导致.text区段熵值高达
998。
主要技术组件包括ChromiumPasswords类在%TEMP%\[用户名]\Passwords目录创建浏览器专属文本文件使用AES-GCM算法解密密码FunctionsForStealer和FunctionsForDecrypt类从Local State文件获取并解密浏览器密钥GrabberDesktop方法按预设扩展名筛选桌面文件静默处理错误避免触发检测Telegram和Discord模块递归复制tdata文件夹通过正则表达式提取Discord令牌截图压缩例程使用CP866编码和最高压缩级别9级打包数据Telegram外传机制数据最终传送至名为botKanal用户名botkanalchik_bot的Telegram机器人其命名可能源自俄语канал频道。
ZIP包附注包含详细的受害者信息包括用户名、IP地址、安全标识符和模块执行状态。
代码中Coded by Ardent的标识及Telegram元数据中的俄语文本暗示开发者可能具有俄罗斯背景。
防护建议针对此类低复杂度但高效的窃密软件建议采取以下防护措施提高用户意识警惕来源不明的文件避免点击可疑链接安全软件更新部署正规杀毒软件及时更新所有应用程序网络流量监控监测异常出站连接特别是Telegram API通信凭证管理使用密码管理器替代浏览器存密在Telegram和Discord启用多因素认证安全文化建设定期开展社会工程学和恶意软件防范培训该软件的出现反映了当前恶意软件即服务MaaS模式下模块化低门槛窃密工具在暗网市场的泛滥趋势攻击者可快速通过凭证窃取、会话劫持和数据转售获利。