一种名为 “SvcStealer 2025” 的新型复杂信息窃取程序出现了，它通过鱼叉式网络钓鱼电子邮件附件来窃取用户敏感数据。

该恶意软件于 2025 年 1 月底首次被发现，它会从受感染的系统中获取大量个人和财务信息，包括机器数据、已安装软件、用户凭证、加密货币钱包信息以及浏览器数据。

这种恶意软件采用有条不紊的方式进行数据窃取，在将信息压缩并外传到命令与控制（C2）服务器之前，会系统地从各种应用程序中提取信息。

在成功收集数据后，SvcStealer 有可能下载更多恶意软件负载，使其威胁能力从最初的数据窃取进一步扩大。

SEQRITE的研究人员在常规威胁排查行动中识别出了这一威胁，并指出该恶意软件是用Microsoft  Visual C++ 编程语言编写的。

分析显示，SvcStealer 通过终止监控进程和删除活动痕迹等规避技术来躲避安全工具的检测。

感染分析

感染发生时，该恶意软件会通过算术运算，从受害者的卷序列号生成一个独特的 11 字节字母数字值。

这个值作为受感染系统的标识符，有助于确保同一时间只有一个恶意软件实例在运行。

SvcStealer 的数据外发机制彰显了其复杂的设计。在收集到敏感信息后，恶意软件会将数据存储在 ProgramData 目录下以唯一生成的文件夹名称命名的文件夹中。

它针对多种特定应用程序，包括来自多个浏览器（Chrome、Edge、Brave）的加密货币钱包、即时通讯平台（Telegram、Discord），并从各种浏览器中捕获凭证信息。

该恶意软件还会截取屏幕截图并收集包括正在运行的进程在内的系统信息。

在此，SvcStealer 会将该文件夹压缩成一个 zip 文件，并在端口 80 上与它的 C2 服务器（185.81.68.156 或 176.113.115.149）建立连接。

通过使用内容类型为 “multipart/form-data” 的 HTTP POST 请求，该恶意软件将窃取的数据伪装成正常的网络流量进行传输。

为了保持持久性，该恶意软件会持续向其 C2 服务器发送信号，等待进一步的命令，这些命令可能包括下载更多恶意负载。

安全专家建议对可疑的电子邮件附件保持警惕，并实施先进的终端防护措施，以抵御这一新兴威胁。