行業新聞與博客

據 Palo Alto Networks 旗下 Unit 42 的研究人員稱，新版本的 Gremlin 竊取程序已從基本的憑證收集器演變為模塊化工具包。

信息竊取程序最早出現於 2025 年 4 月，僅僅 12 個月後，該威脅就迅速演變，在最近的版本中加入了新的混淆技術和新的反分析安全措施。

Gremlin 竊取器會從受感染的系統中竊取敏感信息，並將其泄露到攻擊者控制的服務器上，以備發佈或出售。它的目標是網頁瀏覽器、系統剪貼板和本地存儲。

根據研究，新變種更加註重隱蔽性，並且專門設計用於規避靜態分析工具。

這包括惡意軟件作者將惡意有效載荷轉移到 .NET 資源部分，並使用 XOR 編碼對其進行掩蓋，以繞過基於簽名的檢測和啓發式掃描。

核心架構和通過私有網頁面板或 Telegram Bot API 進行數據外泄的方法與舊版本保持一致。

新數據發佈網站

新變種將竊取的數據泄露到新部署的站點（hxxp [:] 194.87.92 [.] 109）。

令人擔憂的是，Unit 42 的分析指出，當他們發現這個新的數據發佈網站時，VirusTotal 並未檢測到該網站、其關聯的 URL 或任何已檢索到的惡意文件。既沒有黑名單條目，也沒有社區報告或惡意分類。

數據竊取後，惡意軟件將收集到的數據打包到一個 ZIP 壓縮文件中，其中包括：

• 瀏覽器 Cookie
• 會話令牌
• 剪貼板內容
• 加密貨幣錢包數據
• FTP 和 VPN 憑據

該惡意軟件使用受害者的公共 IP 地址來識別文件來源，然後將其上傳到攻擊者控制的網站。

最新版 Gremlin 的主要改進

Palo Alto Networks 旗下 Unit 42 的分析師表示，最新變種現在包含一個專門用於提取 Discord 令牌的模塊，這些令牌可用於通過社交工程攻擊來竊取數字身份。

與此同時，該惡意軟件在金融領域也展現出更強的攻擊性。研究人員發現，它新增了“加密貨幣剪幣器”功能，使 Gremlin 能夠主動干擾加密貨幣交易。

通過監控受害者剪貼板上的錢包地址，並將其與攻擊者控制的地址進行交換，該惡意軟件可以在用户不知情的情況下實時轉移資金。

更新後的版本還引入了基於 WebSocket 的會話劫持功能，攻擊者可以直接從運行進程中劫持活動的瀏覽器會話，繞過現代 cookie 保護措施，並立即訪問已驗證的帳户。

研究人員指出：“Gremlin 竊取程序的最新版本代表着一種更復雜威脅的演變。它從簡單的數據泄露工具轉變為更高級的模塊化竊取程序，現在專門針對基於 Chromium 的瀏覽器。”