Uptycs 的研究人員近日發現了一個新的惡意軟件構建工具 KurayStealer，被用于出售給犯罪分子使其更方便構建惡意軟件。KurayStealer 是使用 Python 編寫的，提供密碼竊取和屏幕截圖功能，通過 webhook 將竊密數據發送到攻擊者的 Discord 頻道。KurayStealer 有兩個版本：免費版本與 VIP 版本。根據各方情報匯總，該惡意軟件構建工具的創建者應該是西班牙裔。

發現 KurayStealer

Uptycs 威脅情報系統在 2022 年 4 月 27 日檢測到了 KurayStealer 的第一個樣本。根據分析與研究，KurayStealer 于 2022 年 4 月 23 日通過名為?Portu的 Youtube 和 Discord 頻道首次發布廣告宣傳。

竊密行動

最早被發現的 KurayStealer 名為 c2.py。使用 Python 編寫，可以在 Python 3.0 下運行。執行后，KurayStealer 會使用?wmic csproduct get UUID來檢查 UUID：

UUID 檢查

根據 UUID 與 pastebin 中的 UUID 列表進行比對，確定用戶是免費用戶還是 VIP 用戶：

構建工具

根據用戶類別與 webhook 的輸入，KurayStealer 會在機器中釋放名為?DualMTS.py或者?DualMTS_VIP.py的文件。以下都使用免費版本演示 KurayStealer 的功能。

DualMTS.py 嘗試將 BetterDiscord 中的字符串?api/webhooks替換為?Kisses，以繞過 BetterDiscord 保護發送 webhook。

繞過 BetterDiscord 保護

接著，DualMTS.py 嘗試使用 python 模塊?pyautogui進行屏幕截圖。除此之外，還會通過 ipinfo 獲取機器所在位置。

屏幕截圖

竊取 21 個軟件的密碼與 Token，包括 Discord、Lightcord、Discord PTB、Opera、Opera GX、Amigo、Torch、Kometa、Orbitum、CentBrowser、7Star、Sputnik、Vivaldi、Chrome SxS、Chrome、 Epic Privacy Browser、Microsoft Edge、Uran、Yandex、Brave、Iridium。

KurayStealer 在收集了計算機名稱、地理位置、IP 地址、密碼憑據以及屏幕截圖后，通過 webhook 發送到 Discord：

憑據發送

威脅情報

分析了代碼后，可以找到 Suleymansha & Portu 的編寫聲明。但是在 GitHub 等多個公開倉庫中可以發現類似的聲明，這一聲明并不能說明作者身份。

KurayStelaer 提供了多個竊密程序作為組件使用，并且使用 Discord 作為 C&C 的信道來收集竊密數據。代碼中還包含有攻擊者的 Discord 頻道邀請鏈接，該頻道介紹了 KurayStelaer 的 VIP 版本信息。

VIP 版本

查看頻道信息，Discord 用戶?portu在個人資料中提供了 Discord 鏈接、Shoppy 鏈接和 YouTube 鏈接。

用戶信息

通過 YouTube 發現用戶位于西班牙，用戶也上傳了 KurayStealer 的演示視頻。

YouTube 信息

而在 Shoppy 中則顯示了攻擊者的其他攻擊工具與商業產品。

Shoppy 信息

在撰寫本文時，攻擊者已經刪除了 YouTube 視頻。攻擊者的 Discord 頻道在 2022 年 4 月 26 日發布了有關正在開發勒索軟件的公告。

結論

根據情況分析，研究人員認為攻擊者仍然會更新竊密程序甚至是其他類型的惡意軟件。

IOC

8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07 (c2.py)
09844d550c91a834badeb1211383859214e65f93d54d6cb36161d58c84c49fab (DualMTS.py)
30b61be0f8d2a8d32a38b8dfdc795acc0fac4c60efd0459cb3a5a8e7ddb2a1c0 (C2.exe)

參考來源

Uptycs