网安 - 专业的网络安全产业、社区、知识平台

Luca Stealer 恶意软件在代码轻松出现在 GitHub 后迅速传播

VSole2022-07-26 17:00:00

一种新的信息窃取恶意软件正在迅速蔓延,因为其背后的开发人员继续添加功能并最近在 GitHub 上发布了源代码。

此外,令人讨厌的 Windows 软件——被 Cyble 检测到它的人称为 Luca Stealer——是使用 Rust 编程语言构建的最新软件。

研究人员在一份报告中写道,Luca Stealer 已经更新了 3 次,开发人员添加了多个功能,并且自 7 月 3 日通过 GitHub 共享源代码以来,他们已经在野外看到了超过 25 个源代码样本,其中可能会导致网络犯罪社区更广泛地采用。

研究人员写道:“窃取者的开发者似乎是网络犯罪论坛上的新人,并且可能泄露了窃取者的源代码以建立自己的声誉。” “开发者还提供了修改窃取器和编译源代码以方便使用的步骤。”

他们指出,Rust 正成为恶意软件开发人员的首选编程语言,因为它的多功能性、跨平台性质,而且生成的代码对于一些逆向工程师及其工具来说似乎很陌生,从而阻碍了分析。多产的 Hive 勒索软件团队今年将其源代码从 Go迁移到了 Rust,微软威胁情报中心的分析师本月早些时候表示,这使得勒索软件更稳定,更难以逆向工程。

其他威胁组织也在采用 Rust,包括BlackCat勒索软件即服务团伙。此外,卡巴斯基安全研究人员本月还写了一篇关于用 Rust 编写的新勒索软件家族Luna的文章。我们对此并不感到惊讶:Rust 被视为一种新兴的通用语言,程序员正在将其用于各种项目,无论是合法的还是恶意的。

“Rust 之于 C 就像 Go 之于 Java,”代码安全业务 BluBracket 的产品和开发人员支持负责人 Casey Bisson 告诉The Register。“它快速、紧凑且现代。Cargo 包管理器为开发人员提供类似于 Go 和 Node.js 的便利,性能更类似于 C。Rust 对链接 C 库的原生支持,例如用于提供代码服务的库在许多操作系统中,为攻击者提供了极大的便利。”

Bisson 补充说,“开发人员的便利性、功能和性能的结合将使其成为一个越来越普遍的新威胁开发平台。该平台的新颖性可能意味着许多软件扫描程序没有准备好识别 Rust 生成的二进制文件中的威胁签名。”

LARES Consulting 的对抗工程师 Brendan Hohenadel 告诉The Register,Rust 是一种有吸引力的语言,除其他外,它的相对易用性、对访问 Windows API 的支持以及旨在使软件更稳定的内存管理方法.

“威胁参与者可以用 Rust 编写恶意软件,其功能与用更复杂的语言编写的恶意软件更快、更有效,”Hohenadel 说。“Rust 与 Golang 和 Nim 等其他较新的编程语言一起,创建可执行二进制文件以进行静态和手动分析。其他流行语言,如 C++、C# 和 .Net 可以直接反编译和逆向工程,使其更容易让维护者进行调查并将恶意行为归咎于犯罪集团。”

对于 Rust 工具链生成的代码,逆向工程过程可能会更加耗时,具体取决于使用的工具和分析师​​的经验。可执行文件的编译方式“实际上是一个黑洞。从可执行文件中获取信息以进行归因而不在沙箱或带有监控软件的环境中运行它更具挑战性,”他说。

据 Cyble 研究人员称,尽管 Rust 是一种跨平台语言,但 Luca Stealer 目前只针对 Windows 操作系统。他们写道,鉴于该恶意软件是用 Rust 编写并免费发布的,它将被世界各地的无数攻击者采用。

一旦在 PC 上运行——可能是通过不可靠的下载或电子邮件附件——Luca Stealer 会针对 30 多个基于 Chromium 的浏览器——窃取登录凭据、信用卡和 cookie 并将它们保存到文本文件以进行泄露——以及聊天应用程序,加密货币钱包和游戏应用程序。它还可以窃取受害者的文件。

它最初旨在使用 Telegram 机器人窃取被盗数据,但仅限于上传最大 50MB 的数据,因此开发人员增加了对 Discord 网络挂钩的兼容性。

该恶意软件针对 10 个冷加密钱包进行渗透,并在源代码中使用硬编码的钱包文件系统路径。他们写道,其他目标是密码管理器的浏览器扩展和 20 多种浏览器的加密钱包。每个浏览器都有一个唯一的 ID,可以帮助攻击者在 AppData 目录中搜索扩展。

此外,Luca Stealer 检查 Steam、Uplay 和 Telegram 应用程序的受损系统,并从多个文件夹中获取数据。它还寻找四个信使应用程序:Discord、ICQ、Element 和 Skype。

Cyble 研究人员列出了用户可以保护自己免受 Luca Stealer 等恶意软件侵害的多种方法,包括不从不受信任的来源下载文件、定期清除浏览历史记录和重置密码、自动更新连接设备上的软件以及运行防病毒和互联网安全软件在系统上。

企业还需要继续向员工宣传网络钓鱼和不受信任的 URL 等威胁。

编程语言rust
本作品采用《CC 协议》,转载必须注明作者和本文链接
Java和.NET开发人员更容易遭遇漏洞
2023-01-28 10:30:58
测试数据表明,大约四分之三的Java和.NET应用都存在OWASP十大漏洞榜单上的漏洞,但仅55%的JavaScript代码库存在此类漏洞。
入选“十大硬核科技”,详解可信密态计算(TECC)技术点
2022-07-27 13:29:06
可信密态计算(TECC)是综合蚂蚁在隐私计算技术和可信计算技术等领域6年多研究的创新成果,是蚂蚁可信隐私计算技术体系重要构成。
为何网络犯罪分子对Rust编程语言情有独钟?
2023-05-15 09:07:27
Rust编写的勒索软件持续了整个2022年,2021年底出现的BlackCat组织就采用了这种恶意软件。Hive自2021年以来,基于RaaS的Hive勒索软件一直在肆虐。在2022年,它们以第二种Rust恶意软件的面目示人,在其泄露网站上披露了200多个受害者。
专门针对开发人员,攻击者利用 Rust 获取操作系统信息
2023-08-31 10:43:18
研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包,专门针对开发人员。
专门针对开发人员,攻击者利用Rust获取操作系统信息
2023-08-31 09:07:03
近日,研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包,专门针对开发人员。
Rust 语言开发的勒索软件 ALPHV/BlackCat
2022-01-29 17:43:03
去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言,用 Rust 开发的程序更难找到常见的编程漏洞,如果有更多网络犯罪组织切换到 Rust 语言,将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security 援引消息来源报道,ALPHV/BlackCat
【安全头条】e勒索软件将其Linux VMware ESXi加密器移植到Rust
2022-03-29 08:56:57
Hive勒索软件操作已将其VMware ESXi Linux加密程序转换为Rust编程语言,并添加了新功能,使安全研究人员更难窥探受害者的勒索谈判。
攻击活动使用基于PHP的信息窃取程序来瞄准Facebook商业帐户
2023-03-09 14:47:33
在过去的一年里,一群攻击者通过恶意谷歌广告或虚假的 Facebook 个人资料传播窃取恶意软件的信息,以 Facebook 商业账户所有者为目标。
Luca Stealer 恶意软件在代码轻松出现在 GitHub 后迅速传播
2022-07-26 17:00:00
一种新的信息窃取恶意软件正在迅速蔓延,因为其背后的开发人员继续添加功能并最近在 GitHub 上发布了源代码。
攻击者通过Freeze.rs和SYK Crypter传播恶意软件
2023-08-24 14:23:01
FortiGuard实验室最近检测到一种用Rust编写的新注入器,它可以注入shellcode并将XWorm引入受害者的环境。虽然Rust在恶意软件开发中相对不常见,但自2019年以来,已经有几个活动采用了这种语言,包括Buer loader、Hive和RansomExx。FortiGuard实验室的分析还显示,2023年5月期间注入器活动显著增加,其中shellcode可以使用Base64编码,
VSole
网络安全专家