2025年初，一种名为SvcStealer的恶意软件通过鱼叉式网络钓鱼邮件传播，针对用户窃取敏感数据。该恶意软件能够收集大量个人信息、金融信息、用户凭证等，并将其压缩后传输至C2服务器。SvcStealer采用系统化方式，通过终止监控进程和删除活动痕迹来逃避检测。安全专家建议用户警惕可疑邮件附件，并部署高级端点保护。该恶意软件的设计精巧，使用卷序列号生成唯一标识符，并伪装成正常网络流量传输数据，以维持持久性并接收进一步指令。

🔑SvcStealer通过鱼叉式网络钓鱼邮件附件进行传播，于2025年1月底首次被发现，旨在窃取用户敏感数据。

💻该恶意软件会收集包括机器数据、安装的软件、用户凭证、加密钱包和浏览器数据在内的大量信息。

⚙️SvcStealer通过终止监控进程和删除活动痕迹来逃避安全工具检测，并使用算术运算生成唯一标识符以确保同一时间只运行一个恶意软件实例。

📁收集到的敏感信息被存储在ProgramData目录下唯一生成的文件夹中，目标应用程序包括多浏览器加密钱包、消息平台和各类浏览器凭证，同时也会截屏并收集系统信息。

📤恶意软件将收集到的数据压缩成zip文件，通过HTTP POST请求伪装成正常网络流量传输到C2服务器，并持续发送信标以接收进一步命令。

HackerNews 编译，转载请注明出处：

2025年初现 sophisticated 信息窃取恶意软件SvcStealer 2025，通过鱼叉式网络钓鱼邮件附件攻击用户，窃取敏感数据。

该恶意软件于2025年1月底首次被发现，从受感染系统中收集大量个人信息和金融信息，包括机器数据、安装的软件、用户凭证、加密钱包和浏览器数据。

SvcStealer采用系统化方法窃取数据，从各种应用程序中提取信息，压缩后传输至命令与控制（C2）服务器。数据收集完成后，SvcStealer可能会下载额外恶意软件，扩大威胁。

SEQRITE研究人员在常规威胁狩猎中发现该威胁，指出其用Microsoft Visual C++编写。分析显示，SvcStealer通过终止监控进程和删除活动痕迹来逃避安全工具检测。

感染分析

感染后，恶意软件通过算术运算生成一个11字节的唯一字母数字值，该值源自受害者的卷序列号，作为被攻系统标识符，确保同一时间只运行一个恶意软件实例。

SvcStealer的数据显示其 sophisticated 设计。收集敏感信息后，数据被存储在ProgramData目录下唯一生成的文件夹中。其目标应用包括多浏览器（Chrome、Edge、Brave）的加密钱包、消息平台（Telegram、Discord）和各类浏览器凭证。此外，它还会截屏并收集系统信息，包括运行中的进程。

收集的信息文件夹结构（来源：SEQRITE）

随后，SvcStealer将文件夹压缩成zip文件，并连接到C2服务器（185.81.68.156或176.113.115.149）的80端口。

通过带有“multipart/form-data”类型的HTTP POST请求，恶意软件将被盗数据伪装成正常网络流量传输。

为维持持久性，恶意软件持续向C2服务器发送信标，等待进一步命令，包括下载更多恶意负载。

安全专家建议警惕可疑邮件附件，并部署高级端点保护，以抵御这一新兴威胁。

 

---

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文