《Katz Stealer:每月 100 美元的 MaaS 威胁,悄无声息地窃取数字身份》
在信息窃取恶意软件的拥挤市场中,Katz Stealer 迅速成为 2025 年最危险和最容易获取的威胁之一。这种作为服务的恶意软件(MaaS)在 2025 年初首次被发现,它将隐蔽的交付、深入的凭证窃取能力和广泛的应用目标集成到一个一揽子解决方案中,为网络犯罪分子提供。
《Katz Stealer:月费 100 美元的 MaaS 威胁,悄无声息地窃取数字身份……迅速在信息窃贼领域引起关注》,据 SentinelOne 最近发布的威胁分析报告显示。
《Katz Stealer:窃取整个数字身份的每月 100 美元 MaaS 威胁》
- 提取密码、Cookies、会话令牌、自动填充数据
- 窃取加密货币钱包密钥、VPN 配置、WiFi 凭证
- 记录浏览器历史记录、私密消息数据,甚至 Steam 和 Discord 会话
- 捕获屏幕截图、音频和剪贴板内容
- 注入浏览器进程以绕过加密屏障,如 Chrome 的 ABE
报告解释称:“Katz 还具备在某些情况下解码加密浏览器数据的能力……通过注入后模拟浏览器的方式,”
《Katz Stealer:每月 100 美元的 MaaS 威胁,悄无声息地掠夺数字身份》 Katz Stealer 之所以特别危险,在于其易得性。仅需每月 100 美元,攻击者就能获得访问基于网络的控制面板的权限,该面板管理以下功能:
- 恶意软件生成
- 活动追踪
- 被盗数据浏览和导出
《Katz Stealer 服务的一站式特性以及可负担的价格,导致威胁行为者迅速采用,能力各异的群体都在使用,报告发出警告。》
这不仅仅局限于暗网。Katz 在 Telegram、Discord 和公开论坛如 BreachForums 上进行了宣传,扩大了其影响力。
Katz Stealer 使用多阶段感染链,始于:
- 钓鱼或携带木马的可下载文件提供.gz 存档。
- 这些包含一个混淆的 JavaScript 下载器,它运行隐藏的 PowerShell。
- PowerShell 使用隐写术拉取一个武器化的图像文件。
- 在<<INICIO>>和<<FIM>>标记之间隐藏的 base64 编码的有效负载被提取并在内存中完全执行。
报告详细说明:“图像中包含嵌入在特定标记之间的 base64 编码的字符串……在内存中完全解码,确保没有恶意有效负载写入磁盘。”
解码后,Katz 利用 cmstp.exe(一个合法的 Windows 实用工具)绕过用户账户控制并获取提升的权限。然后,它通过创建计划任务,并通过进程空心化将最终有效载荷注入 MSBuild.exe 来持续存在——这是一种隐蔽的策略,以保持不被检测到。
“在这个环境下运行,在 MSBuild.exe 的特权内存空间中提升权限,恶意软件能够以 SYSTEM 级别访问权限运行,”报告警告。
Katz Stealer 针对加密货币盗窃进行了高度优化。它针对 Exodus、MetaMask、Coinomi、Phantom 等钱包以及超过 150 个加密货币浏览器扩展。
“恶意软件会扫描浏览器扩展数据中的这些 ID,一旦找到,就会收集所有相关文件和数据,例如扩展日志、钱包保险库文件以及任何缓存的种子短语,”报告指出。
Katz 还通过使用 Windows 加密 API 和浏览器的“本地状态”文件解密加密凭据,绕过了现代浏览器的安全措施。
《Katz Stealer:每月 100 美元的 MaaS 威胁,悄无声息地窃取数字身份》
- 逐行发送收集到的数据
- 将较大的文件(截图、钱包)分割成可传输的块
- 在数据传输完成后删除所有临时文件,以掩盖痕迹
《Katz Stealer:每月 100 美元的 MaaS 威胁,悄无声息地窃取数字身份》报告指出:“Katz Stealer 并非一次性信息窃取器;它被设计成持续窃取受害者的数据。”
