StealC 与 Amadey:深入剖析信息窃取器及其背后的网络犯罪交付服务
导语:2026年6月24日,微软数字犯罪部门(DCU)联合欧洲刑警组织及行业合作伙伴,对 StealC 与 Amadey 的基础设施发起协同打击行动,识别并关停超过 200 个恶意命令控制域名与 IP 地址。本文深入剖析这两款恶意家族的传播链条、技术特征与变现路径。

在网络犯罪生态系统中,StealC 这类信息窃取器家族与 Amadey 这类恶意软件交付服务,正作为商品被出售和出租。被盗数据在由"访问经纪商"组成的地下经济中流转,进而喂养勒索软件及其他下游行动。由于初始感染通常发生在受管终端之外,防御者往往只能在合法凭证被滥用之后才察觉入侵事件,这进一步凸显了身份保护、凭证卫生与快速响应能力的重要性。
本篇博文重点剖析 StealC 与 Amadey,并展示信息窃取器经济如何演变为对企业安全的重大威胁。StealC 是一款信息窃取器,能够从浏览器、加密货币钱包、即时通讯应用、电子邮件客户端以及游戏平台中收集敏感数据。作为"恶意软件即服务"(MaaS)产品,威胁行为者可使用 StealC 生成定制化的载荷,并通过集中化的 Web 面板管理被盗数据。Amadey 则是一款 MaaS 加载器,威胁行为者借助它投递 StealC 及其他恶意软件。StealC 和 Amadey 这种模块化、按需付费的模式,使威胁行为者能够凭借一次初始感染,迅速升级为多种其他威胁。

2026年6月24日,微软数字犯罪部门(DCU)协同欧洲刑警组织(Europol)及行业合作伙伴,宣布实施一项协同打击行动,成功关停、暂停并封锁了构成 StealC 与 Amadey 基础设施核心的域名与命令控制服务器。总体而言,DCU 识别出超过 200 个恶意 Amadey 与 StealC 命令控制域名及 IP 地址,并通过法院命令、域名查封、注册及供应商通知等多种方式推动其下线。作为此次行动的一部分,DCU 还利用包括 Microsoft Copilot 在内的工具,高效分析 StealC 与 Amadey 的二进制样本。具体工作包括:构建用于执行函数综合分析的提示代理;通过提示工程生成用于字符串解密与配置参数提取的 Python 脚本;借助 Copilot 分析反汇编后的恶意软件代码,识别硬编码在二进制样本中的 C2 服务器;以及在 Copilot 协助下编写软件,用于确认 C2 活动。

包括 StealC、Lumma Stealer、RedLine、Raccoon 和 Vidar 在内的信息窃取器,使得网络犯罪生态中的分工协作成为可能:初始运营者大规模部署恶意软件,访问经纪商负责验证被盗凭证并将其货币化,再以溢价转售给寻求进入企业环境的威胁行为者。尽管不同家族的技术手法各有差异,但信息窃取器驱动的入侵,从投递到产生影响,往往遵循高度一致的路径。感染链可能始于一台未受管理或防护薄弱的设备,并在数周后出现在企业内部环境之中,而此时所使用的凭证看起来完全合法。

信息窃取器运营者偏爱那些能够规模化扩展、并依赖用户日常行为而非软件漏洞的投递方式。最常见的是欺骗性网络流量:通过搜索引擎优化(SEO)投毒与恶意广告,将流行软件的伪造或木马化版本、所谓"破解版"应用程序及游戏外挂推至搜索结果前列。寻找免费工具的用户下载了一个捆绑窃取器的可用程序。增速最快的变种是 ClickFix 攻击手法——网站诱骗用户将命令粘贴到 Windows 运行对话框或终端中,使用户在不知情的情况下自行执行攻击者的脚本,从而绕开许多基于下载的防御措施。钓鱼邮件同样是稳定的投递渠道,尤其在针对特定组织或个人的攻击行动中更为常见。此外,信息窃取器也经常由其他恶意软件投递。以 Amadey 为代表的加载器一旦立足,便可按需部署窃取器、银行木马或其他工具。加载器在内存中解压信息窃取器并规避检测后,后者便开始收割目标数据。数据外传完成后,恶意软件通常会自我删除以阻碍取证分析。

被盗凭证一旦流出,便会迅速被变现。短短数小时内,受感染设备上的凭证就会以每条日志 10 至 50 美元的价格出现在暗网市场或 Telegram 频道中,而包含银行或企业账户的"高级日志"价格更高,每条可达 100 美元以上。不过,Reliaquest 研究人员的最新分析显示,俄罗斯市场上日志售价可低至每条 2 美元。这些"泄露数据包"可能被初始访问经纪商批量采购——他们是专业的中间人,负责测试并转售网络访问权限。
StealC 还能作为次级加载器运行,能够根据 C2 指令下载并执行额外的载荷(如 .exe、MSI 或 PowerShell 脚本)。完成任务后,该恶意软件可选择性地自删除以减少取证证据。此外,StealC 会查询系统的默认语言并进行语言检查,如果语言区域与俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦或乌兹别克斯坦匹配,则立即终止自身运行。恶意软件还会尝试以受害 ID 作为事件名称创建一个 Windows 事件,受害 ID 格式为 \u003c计算机名\u003e_\u003c用户名\u003e。如果该事件已存在,恶意软件将以小于 5 秒(不同变种有所差异)的间隔进入轮询循环,直至自身的上一个实例运行结束,以避免在同一设备上出现多个并发实例。StealC 还内嵌一个过期日期,会将当前系统时间与之比较,若样本已过期则跳过所有恶意活动。

StealC 首先向 C2 面板发送注册请求,并构造一个 HTTP POST 请求,其中包含的载荷使用硬编码密钥进行 RC4 加密,再经 Base64 编码后,通过 HTTP POST 请求发送至 C2。解密后的 C2 响应被解析为 JSON 配置对象。如果与 C2 的注册请求失败,恶意软件将立即自终止。随后 StealC 执行全面的系统信息收集,并将结果外传给 C2。对于基于 Chromium 的浏览器(如 Chrome、Edge、Brave、Opera、Vivaldi 等),恶意软件解析浏览器在 %APPDATA% 或 %LOCALAPPDATA% 下的配置文件目录,并针对特定数据存储进行读取。为绕过 Chromium 的应用绑定加密(App-Bound Encryption,ABE),StealC 不在其自身进程内解密这些浏览器密钥,而是携带一个约 165 KB 的嵌入式载荷,将其注入一个被挂起的牺牲进程,并通过异步过程调用(APC)执行。注入过程为:在目标进程上下文中运行后,被注入模块执行进程内解密,并将明文结果写入位于 C:\ProgramData\\u003cHWID\u003e.txt 的进程间通信(IPC)文件,其中 \u003cHWID\u003e 为受害者的硬件标识符。StealC 随后从该文件读取最多 511 字节的解密输出,处理结果并删除临时文件。如果注入未成功,该流程将最多重试三次。
来源信息
来源:Microsoft Security Blog
作者:Microsoft Threat Intelligence, Microsoft Defender Security Research Team and Microsoft Digital Crimes Unit

