2025年，網(wǎng)絡(luò)安全分析師發(fā)現(xiàn)了一種名為卡茲竊密木馬（Katz Stealer）的高度隱蔽信息竊取程序，該惡意軟件采用惡意軟件即服務(wù)（MaaS，Malware-as-a-Service）模式運(yùn)營(yíng)。根據(jù)Picus安全團(tuán)隊(duì)的詳細(xì)報(bào)告，這款惡意軟件的設(shè)計(jì)目標(biāo)是"實(shí)現(xiàn)最大隱蔽性、模塊化載荷投遞和快速數(shù)據(jù)外泄"，其技術(shù)先進(jìn)性令人印象深刻，同時(shí)商業(yè)化的運(yùn)營(yíng)模式使得即使初級(jí)攻擊者也能發(fā)起高效的數(shù)據(jù)竊取活動(dòng)。

攻擊鏈分析

攻擊始于常見的釣魚郵件或虛假破解軟件下載，投遞惡意GZIP壓縮包。報(bào)告指出："壓縮包內(nèi)含經(jīng)過刻意混淆的JavaScript投放器，通過欺騙性變量名和復(fù)雜JavaScript技巧規(guī)避檢測(cè)分析"。該投放器采用+[]強(qiáng)制轉(zhuǎn)換和多態(tài)字符串構(gòu)建等技術(shù)干擾分析，執(zhí)行后會(huì)啟動(dòng)帶有-WindowStyle Hidden參數(shù)的PowerShell命令，并完全在內(nèi)存中解碼Base64數(shù)據(jù)塊，徹底規(guī)避基于磁盤的檢測(cè)機(jī)制。

卡茲竊密木馬通過cmstp.exe實(shí)現(xiàn)的UAC繞過 | 圖片來源：Picus

隱蔽駐留技術(shù)

該惡意軟件通過cmstp.exe利用已知的UAC繞過技術(shù)，借助惡意INF文件獲取管理員權(quán)限執(zhí)行。隨后創(chuàng)建計(jì)劃任務(wù)實(shí)現(xiàn)持久化駐留，并通過進(jìn)程鏤空（Process Hollowing）技術(shù)注入合法程序MSBuild.exe，偽裝成可信的微軟進(jìn)程運(yùn)行。報(bào)告強(qiáng)調(diào)："通過寄生在MSBuild進(jìn)程中，惡意軟件得以混入系統(tǒng)正常進(jìn)程，規(guī)避安全工具檢測(cè)"。

數(shù)據(jù)竊取能力

卡茲竊密木馬表現(xiàn)出極強(qiáng)的數(shù)據(jù)竊取能力，幾乎涵蓋所有存儲(chǔ)敏感信息的用戶應(yīng)用程序：

• 瀏覽器數(shù)據(jù)：密碼、Cookies、自動(dòng)填充數(shù)據(jù)、會(huì)話令牌，甚至信用卡CVV碼
• VPN與郵件客戶端：Outlook、Foxmail、Windows Live Mail等應(yīng)用的憑證
• 即時(shí)通訊平臺(tái)：Discord和Telegram的令牌與會(huì)話劫持
• 加密貨幣錢包：Exodus、Electrum、MetaMask、Brave Wallet等150余種錢包

報(bào)告總結(jié)稱："簡(jiǎn)而言之，它能竊取受感染系統(tǒng)上幾乎所有有價(jià)值的數(shù)據(jù)"。該惡意軟件還通過DLL注入技術(shù)滲透Chrome和Firefox瀏覽器，通過復(fù)制瀏覽器自身的解密邏輯訪問加密的密碼存儲(chǔ)。

Discord劫持技術(shù)

卡茲竊密木馬最具威脅的特性是其對(duì)Discord應(yīng)用的持久化劫持能力。Picus解釋稱："它修改Discord應(yīng)用app.asar壓縮包內(nèi)的index.js文件，用于獲取并執(zhí)行攻擊者提供的JavaScript代碼"。由于Discord在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行且受用戶和防火墻信任，該技術(shù)使得攻擊者能在每次Discord啟動(dòng)時(shí)靜默重新感染系統(tǒng)。

隱蔽通信機(jī)制

惡意軟件與C2基礎(chǔ)設(shè)施的通信采用隱蔽持久化設(shè)計(jì)，通過TCP信標(biāo)連接185.107.74[.]40等服務(wù)器，使用植入ID（如al3rbi）標(biāo)識(shí)身份，并按需下載模塊。研究人員發(fā)現(xiàn)："其通信字符串與合法Chrome瀏覽器代理幾乎完全相同，僅在末尾添加katz-ontop標(biāo)識(shí)"，這為防御者提供了獨(dú)特的威脅指標(biāo)（IOC）。所有竊取數(shù)據(jù)（包括密碼、屏幕截圖和加密密鑰）均立即外傳，最大限度減少磁盤駐留時(shí)間，提高攻擊成功率。