新型Windows恶意软件盗取用户大量数据

Uptycs 威胁研究团队报告称，发现了一个名为 Meduza Stealer 的新型恶意软件，专门针对 Windows 用户和组织。

Meduza Stealer 旨在全面窃取数据，包括窃取用户的浏览活动、提取大量与浏览器相关的数据。范围涵盖关键的登录凭据到有价值的浏览历史记录和书签等，没有任何数字工件是安全的；甚至加密钱包扩展、密码管理器和 2FA 扩展也容易受到攻击。“如果不加以控制，受影响者可能会遭受严重后果，包括经济损失和可能对组织产生深远影响的大规模数据泄露。”

报告指出，Meduza Stealer 的管理员一直在使用 “复杂的营销策略” 在推广该恶意软件。他们使用了一些业界最知名的防病毒软件对 Meduza 窃取文件进行静态和动态扫描。随后分享检测结果的屏幕截图称，这种强大的恶意软件可以逃避顶级防病毒解决方案的检测。

Meduza Stealer 的狡猾之处在于其操作设计。该二进制文件没有采用混淆技术，因此更难识别和追踪。此外，它在开始从受害者机器上窃取数据之前，会设法与攻击者的服务器建立连接。如果连接失败，它会立即终止，从而使增加追踪的难度。

为了吸引潜在客户，其通过网络面板提供被盗数据的访问权限；向潜在客户展示了不同的订购选项：一个月 199 美元、三个月 399 美元或终身计划。用户订阅后即可完全访问 Meduza Stealer 网络面板，该面板提供受感染计算机上的 IP 地址、计算机名称、国家名称、存储密码数量、钱包和 cookie 等信息。然后订阅者可以直接从网络面板下载或删除被盗数据，而数据删除功能可以保证其他订阅者无法使用该信息。

一旦成功渗透到机器中，Meduza Stealer 就会开始行动。它执行的第一步是地理位置检查，如果受害者的位置在窃取者预定义的排除国家列表中（俄罗斯、哈萨克斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌兹别克斯坦、亚美尼亚、吉尔吉斯斯坦、摩尔多瓦和塔吉克斯坦），恶意软件操作会立即中止。

但是如果不在列表中，Meduza Stealer 会检查攻击者的服务器是否处于活动状态。如果服务器无法访问，窃取者也会立即终止其活动。如果位置检查和服务器可访问性这两个条件都有利，那么窃取者就会继续收集大量信息；包括收集系统信息、浏览器数据、密码管理器详细信息、采矿相关注册表信息以及已安装游戏的详细信息。

研究人员指出，该恶意软件收集的各种数据类型表明，感染具有广泛的潜在影响；因为它不仅针对个人和财务数据，还针对特定系统和潜在的专有信息。收集到的数据被迅速上传到攻击者的服务器，加剧了漏洞发生的速度以及对有效检测和保护措施的迫切需要。

为了防御 Meduza Stealer 等恶意软件攻击，建议：

定期安装操作系统、浏览器和已安装应用程序的更新，以修补恶意软件可以利用的漏洞。

下载文件或打开电子邮件附件时要小心，尤其是来自未知来源的文件或打开电子邮件附件时。打开文件之前使用安全软件扫描文件。

为所有帐户（包括浏览器、电子邮件和加密货币钱包）采用强大而独特的密码。考虑使用密码管理器来安全地存储和管理密码。

尽可能启用 2FA，为帐户添加额外的安全层。即使密码被泄露，这也有助于防止未经授权的访问。

仅安装来自受信任来源的浏览器扩展。定期检查并删除不必要或可疑的扩展程序，以最大限度地降低恶意软件干扰的风险。

密切关注财务账户，包括加密货币钱包，并定期查看交易历史记录是否有任何可疑活动。立即报告任何未经授权的交易或安全漏洞。