新型隐蔽MaaS恶意软件劫持Discord，并可窃取所有数据

2025年，新型网络安全分析师发现了一种名为卡兹窃密木马（Katz Stealer）的隐蔽有数高度隐蔽信息窃取程序，该恶意软件采用恶意软件即服务（MaaS，恶意Malware-as-a-Service）模式运营。软件根据Picus安全团队的劫持据详细报告，这款恶意软件的可窃设计目标是"实现最大隐蔽性、模块化载荷投递和快速数据外泄"，新型其技术先进性令人印象深刻，隐蔽有数同时商业化的恶意运营模式使得即使初级攻击者也能发起高效的数据窃取活动。

攻击始于常见的软件钓鱼邮件或虚假破解软件下载，投递恶意GZIP压缩包。劫持据报告指出："压缩包内含经过刻意混淆的可窃JavaScript投放器，通过欺骗性变量名和复杂JavaScript技巧规避检测分析"。新型该投放器采用+[]强制转换和多态字符串构建等技术干扰分析，隐蔽有数执行后会启动带有-WindowStyle Hidden参数的恶意PowerShell命令，并完全在内存中解码Base64数据块，彻底规避基于磁盘的检测机制。

卡兹窃密木马通过cmstp.exe实现的WordPress模板UAC绕过 | 图片来源：Picus

该恶意软件通过cmstp.exe利用已知的UAC绕过技术，借助恶意INF文件获取管理员权限执行。随后创建计划任务实现持久化驻留，并通过进程镂空（Process Hollowing）技术注入合法程序MSBuild.exe，伪装成可信的微软进程运行。报告强调："通过寄生在MSBuild进程中，恶意软件得以混入系统正常进程，规避安全工具检测"。

卡兹窃密木马表现出极强的数据窃取能力，几乎涵盖所有存储敏感信息的用户应用程序：

报告总结称："简而言之，它能窃取受感染系统上几乎所有有价值的数据"。源码库该恶意软件还通过DLL注入技术渗透Chrome和Firefox浏览器，通过复制浏览器自身的解密逻辑访问加密的密码存储。

卡兹窃密木马最具威胁的特性是其对Discord应用的持久化劫持能力。Picus解释称："它修改Discord应用app.asar压缩包内的index.js文件，用于获取并执行攻击者提供的JavaScript代码"。由于Discord在系统启动时自动运行且受用户和防火墙信任，该技术使得攻击者能在每次Discord启动时静默重新感染系统。

恶意软件与C2基础设施的通信采用隐蔽持久化设计，通过TCP信标连接185.107.74[.]40等服务器，使用植入ID（如al3rbi）标识身份，并按需下载模块。研究人员发现："其通信字符串与合法Chrome浏览器代理几乎完全相同，仅在末尾添加katz-ontop标识"，这为防御者提供了独特的威胁指标（IOC）。所有窃取数据（包括密码、屏幕截图和加密密钥）均立即外传，最大限度减少磁盘驻留时间，提高攻击成功率。服务器租用

最新评论