AsukaStealer：新型信息窃取恶意软件的分析

2024 年 2 月 2 日，Cyble 研究与情报实验室 (CRIL) 发现一种名为“AsukaStealer”的恶意软件即服务 (MaaS) 在俄语网络犯罪论坛上做广告，该论坛的网络面板版本为 0.9.7报价为每月 80 美元。AsukaStealer 最初于 2024 年 1 月 24 日在另一个受欢迎的俄罗斯论坛上使用替代角色进行广告。 

该恶意软件采用 C++ 编写，具有灵活的设置和基于 Web 的面板，旨在从浏览器、扩展程序、Discord 令牌、FileZilla 会话、Telegram 会话、加密钱包和扩展程序、桌面屏幕截图以及 Steam 桌面的 maFiles 收集信息验证器应用程序。共享了命令与控制 (C&C) 面板的一些屏幕截图，以演示 AsukaStealer 恶意软件即服务 (MaaS)。 

详细研究还表明，该恶意软件很可能是 ObserverStealer 的改进版本。

图1：AsukaStealer在论坛上的广告 

观察与分析

AsukaStealer 的发起者夸耀了多项功能，并分享了从 C&C 面板捕获的多个屏幕截图，以展示窃取恶意软件的功能。该窃取者的显着特征包括： 

功能特点： 

• 本机样式器是用 C++ 语言编写的，大小为 280 kb。

• 收集 Chromium（Edge、Google、OperaGX）和 Gecko（Firefox、Waterfox）引擎上的浏览器数据（Cookie、密码、AccountsSync、扩展）。

• 收集 Discord 代币。

• 收集 FileZilla 会话（FileGrabber|标准配置）。

• 收集 Telegram 会话（ProcessGrabber|FileGrabber|标准配置）。

• 构建 Steam（标准配置）。

• 有收集日志后上传文件的功能（Loader）。

• 能够安装自定义代理。

• 能够将日志发送到电报。

• 从桌面收集屏幕截图。

• 从 Steam 桌面验证器应用程序收集 maFiles（ProcessGrabber|标准配置）。

• 防重复系统。

配置设置：

• 可定制的浏览器列表 [Chromium、Gecko]。

• 可定制的 FileGrabber/加密钱包文件。

• 可定制的扩展列表。

• 可定制的ProcessGrabber。

• 可定制的加载器。

• 可定制的 Discord 客户端。

AsukaStealer C&C面板截图如下： 

图 2：AsukaStealer 仪表板的登录页面 

图 3：自定义浏览器配置设置 

图 4：显示恶意软件收集的全部信息的仪表板 

图5：窃取者收集的日志 

图 6：从 Discord 代币收集的信息。 

图 7：Telegram 会话信息 

图 8：收集的日志的屏幕截图。 

在我们的研究过程中，我们发现了与AsukaStealer的C&C面板相关的以下指标： 

hxxp[:]//5.42.66.25/

• IP 地址位于俄罗斯。

• 主持 AsukaStealer C&C 小组。

• 开放端口 – 80、3000

• 还托管 simpleavailable.com 和 freemsk.org 域。

Simplyavailable.com、freemsk.org 域可能是 AsukaStealer 的其他远程服务器。 

根据 VirusTotal，我们观察到了 2024 年 1 月 29 日至 2024 年 2 月 13 日期间报告的以下带有 IP 地址的文件： 

• VL_SkinChanger.exe 

• 24bb4fc117aa57fd170e878263973a392d094c94d3a5f651fad7528d5d73b58a.exe 

• Setup.exe 

• 5f2016f22935cea6fa5eafe1e185d6a9b4c14c4b2aa8619ec15a539358cac928.exe 

• brave_exe 

• Launcher-AI.exe 

• 9ac629ed8e07b6c99b05edd46b86e1795e5f96908ab1fe85a06282b0a982cd1b.exe 

• file_1.zip 

• c534f184b8ea3887161eC&Cb364de15e61ee9a4053f8902450383d3f4165fc818.exe 

• CCiVUlD20s4qygxJucEODm800LQYrBtW.exe 

根据 YARA 签名，上述一些文件被检测为 AsukaStealer。 

AsukaStealer – ObserverStealer 的改进版本

在 2023 年 7 月的研究中，我们观察到 AsukaStealer MaaS 的发起者也宣布关闭 ObserverStealer 的 MaaS 运营，这表明这两种窃取恶意软件的开发和管理背后都有相同的威胁行为者参与。 

图 9：ObserverStealer 的发售和关闭公告 

此外，在调查 AsukaStealer 的指标时，我们发现多个与 IP 地址“5.42.66.25”交互的文件，这些文件已被 VirusTotal 标记并检测为 ObserverStealer。有趣的是，AsukaStealer 和 ObserverStealer 的 C&C 面板具有惊人相似的功能。

图10：GET请求 

我们还在与这两个恶意软件关联的文件中观察到相同的互斥锁“IESQMMUTEX_0_208”，这表明它们来自同一恶意软件系列。  

结论

从我们的研究中可以明显看出，恶意软件开发人员或作者利用相同的 C&C 基础设施来托管 ObserverStealer 和 AsukaStealer。总的来说，我们的研究使我们评估 AsukaStealer 是 ObserverStealer 的增强版本。尽管有关感染源的信息有限，但我们观察到其中一个文件使用网络钓鱼作为传播恶意软件的方法。 

精通恶意软件开发并能够托管规模相当大的 C&C 基础设施的威胁行为者，不断抓住机会提供恶意软件即服务 (MaaS)，以满足地下社区的需求，并在短时间内获利。Redline、Raccoon 和 Azorult 等窃取恶意软件已成为威胁行为者流行的资源开发服务，以获取对目标组织的初始访问权限并执行网络攻击。AsukaStealer 的发布是今年俄罗斯网络犯罪论坛上以恶意软件即服务 (MaaS) 形式提供信息窃取恶意软件的又一实例。