行业新闻与博客

据 Palo Alto Networks 旗下 Unit 42 的研究人员称，新版本的 Gremlin 窃取程序已从基本的凭证收集器演变为模块化工具包。

信息窃取程序最早出现于 2025 年 4 月，仅仅 12 个月后，该威胁就迅速演变，在最近的版本中加入了新的混淆技术和新的反分析安全措施。

Gremlin 窃取器会从受感染的系统中窃取敏感信息，并将其泄露到攻击者控制的服务器上，以备发布或出售。它的目标是网页浏览器、系统剪贴板和本地存储。

根据研究，新变种更加注重隐蔽性，并且专门设计用于规避静态分析工具。

这包括恶意软件作者将恶意有效载荷转移到 .NET 资源部分，并使用 XOR 编码对其进行掩盖，以绕过基于签名的检测和启发式扫描。

核心架构和通过私有网页面板或 Telegram Bot API 进行数据外泄的方法与旧版本保持一致。

新数据发布网站

新变种将窃取的数据泄露到新部署的站点（hxxp [:] 194.87.92 [.] 109）。

令人担忧的是，Unit 42 的分析指出，当他们发现这个新的数据发布网站时，VirusTotal 并未检测到该网站、其关联的 URL 或任何已检索到的恶意文件。既没有黑名单条目，也没有社区报告或恶意分类。

数据窃取后，恶意软件将收集到的数据打包到一个 ZIP 压缩文件中，其中包括：

• 浏览器 Cookie
• 会话令牌
• 剪贴板内容
• 加密货币钱包数据
• FTP 和 VPN 凭据

该恶意软件使用受害者的公共 IP 地址来识别文件来源，然后将其上传到攻击者控制的网站。

最新版 Gremlin 的主要改进

Palo Alto Networks 旗下 Unit 42 的分析师表示，最新变种现在包含一个专门用于提取 Discord 令牌的模块，这些令牌可用于通过社交工程攻击来窃取数字身份。

与此同时，该恶意软件在金融领域也展现出更强的攻击性。研究人员发现，它新增了“加密货币剪币器”功能，使 Gremlin 能够主动干扰加密货币交易。

通过监控受害者剪贴板上的钱包地址，并将其与攻击者控制的地址进行交换，该恶意软件可以在用户不知情的情况下实时转移资金。

更新后的版本还引入了基于 WebSocket 的会话劫持功能，攻击者可以直接从运行进程中劫持活动的浏览器会话，绕过现代 cookie 保护措施，并立即访问已验证的帐户。

研究人员指出：“Gremlin 窃取程序的最新版本代表着一种更复杂威胁的演变。它从简单的数据泄露工具转变为更高级的模块化窃取程序，现在专门针对基于 Chromium 的浏览器。”