【安全资讯】高级窃取恶意软件的崛起：Divulge、Dedsec与Duck

概要：

近期，CYFIRMA揭示了三款恶意窃取软件——Divulge、Dedsec和Duck Stealers，强调它们在GitHub、Discord和Telegram等平台上的传播。这些窃取软件利用先进的反分析策略，专门针对敏感数据，成为一种旨在收集浏览器凭证、加密货币钱包和个人数据的“市场”恶意软件。

主要内容：

Divulge Stealer在地下论坛如HackForums和Cracked上获得了广泛关注，被威胁行为者描述为Umbral Stealer的继任者，专注于从浏览器中提取数据。CYFIRMA指出，Divulge Stealer专门针对浏览器和Cookie凭证，其代码具有强大的反虚拟机措施，包括对黑名单UUID和计算机名称的检查，使得分析人员难以研究其行为。此外，Divulge通过修改hosts文件阻止受感染机器访问安全网站，如VirusTotal和Bitdefender，从而有效阻止受害者获取安全解决方案。

与Divulge不同，Dedsec Stealer主要在Telegram和GitHub上推广，供下载和定制。CYFIRMA的分析显示，Dedsec Stealer本质上是Doenerium的复制品，具备反虚拟机能力，能够收集自动填充数据、支付卡信息和浏览器凭证，并将其保存在C:/ProgramData/Steam/Launcher/**的隐蔽目录中。Dedsec的独特之处在于其集成的Base32编码剪贴板功能，能够拦截和修改加密货币地址。

Duck Stealer与AZStealer相似，采用熟悉的策略捕获广泛的数据，包括Cookie、浏览历史和加密货币钱包信息。CYFIRMA指出，Duck Stealer支持盗取超过30种加密货币钱包，包括Metamask、Coinbase和Binance。通过剪贴板功能，Duck Stealer使攻击者能够在更大范围内拦截加密货币交易。这些窃取软件并非孤立威胁，而是繁荣于流行平台上的恶意工具生态系统的一部分，显示出对加密货币持有者和开发者日益严重的威胁。