StealC 与 Amadey:深入剖析信息窃取器及其背后的网络犯罪交付服务

StealC 与 Amadey:深入剖析信息窃取器及其背后的网络犯罪交付服务

导语:2026年6月24日,微软数字犯罪部门(DCU)联合欧洲刑警组织及行业合作伙伴,对 StealC 与 Amadey 的基础设施发起协同打击行动,识别并关停超过 200 个恶意命令控制域名与 IP 地址。本文深入剖析这两款恶意家族的传播链条、技术特征与变现路径。

????

在网络犯罪生态系统中,StealC 这类信息窃取器家族与 Amadey 这类恶意软件交付服务,正作为商品被出售和出租。被盗数据在由"访问经纪商"组成的地下经济中流转,进而喂养勒索软件及其他下游行动。由于初始感染通常发生在受管终端之外,防御者往往只能在合法凭证被滥用之后才察觉入侵事件,这进一步凸显了身份保护、凭证卫生与快速响应能力的重要性。

本篇博文重点剖析 StealC 与 Amadey,并展示信息窃取器经济如何演变为对企业安全的重大威胁。StealC 是一款信息窃取器,能够从浏览器、加密货币钱包、即时通讯应用、电子邮件客户端以及游戏平台中收集敏感数据。作为"恶意软件即服务"(MaaS)产品,威胁行为者可使用 StealC 生成定制化的载荷,并通过集中化的 Web 面板管理被盗数据。Amadey 则是一款 MaaS 加载器,威胁行为者借助它投递 StealC 及其他恶意软件。StealC 和 Amadey 这种模块化、按需付费的模式,使威胁行为者能够凭借一次初始感染,迅速升级为多种其他威胁。

????

2026年6月24日,微软数字犯罪部门(DCU)协同欧洲刑警组织(Europol)及行业合作伙伴,宣布实施一项协同打击行动,成功关停、暂停并封锁了构成 StealC 与 Amadey 基础设施核心的域名与命令控制服务器。总体而言,DCU 识别出超过 200 个恶意 Amadey 与 StealC 命令控制域名及 IP 地址,并通过法院命令、域名查封、注册及供应商通知等多种方式推动其下线。作为此次行动的一部分,DCU 还利用包括 Microsoft Copilot 在内的工具,高效分析 StealC 与 Amadey 的二进制样本。具体工作包括:构建用于执行函数综合分析的提示代理;通过提示工程生成用于字符串解密与配置参数提取的 Python 脚本;借助 Copilot 分析反汇编后的恶意软件代码,识别硬编码在二进制样本中的 C2 服务器;以及在 Copilot 协助下编写软件,用于确认 C2 活动。

????

包括 StealC、Lumma Stealer、RedLine、Raccoon 和 Vidar 在内的信息窃取器,使得网络犯罪生态中的分工协作成为可能:初始运营者大规模部署恶意软件,访问经纪商负责验证被盗凭证并将其货币化,再以溢价转售给寻求进入企业环境的威胁行为者。尽管不同家族的技术手法各有差异,但信息窃取器驱动的入侵,从投递到产生影响,往往遵循高度一致的路径。感染链可能始于一台未受管理或防护薄弱的设备,并在数周后出现在企业内部环境之中,而此时所使用的凭证看起来完全合法。

????

信息窃取器运营者偏爱那些能够规模化扩展、并依赖用户日常行为而非软件漏洞的投递方式。最常见的是欺骗性网络流量:通过搜索引擎优化(SEO)投毒与恶意广告,将流行软件的伪造或木马化版本、所谓"破解版"应用程序及游戏外挂推至搜索结果前列。寻找免费工具的用户下载了一个捆绑窃取器的可用程序。增速最快的变种是 ClickFix 攻击手法——网站诱骗用户将命令粘贴到 Windows 运行对话框或终端中,使用户在不知情的情况下自行执行攻击者的脚本,从而绕开许多基于下载的防御措施。钓鱼邮件同样是稳定的投递渠道,尤其在针对特定组织或个人的攻击行动中更为常见。此外,信息窃取器也经常由其他恶意软件投递。以 Amadey 为代表的加载器一旦立足,便可按需部署窃取器、银行木马或其他工具。加载器在内存中解压信息窃取器并规避检测后,后者便开始收割目标数据。数据外传完成后,恶意软件通常会自我删除以阻碍取证分析。

????

被盗凭证一旦流出,便会迅速被变现。短短数小时内,受感染设备上的凭证就会以每条日志 10 至 50 美元的价格出现在暗网市场或 Telegram 频道中,而包含银行或企业账户的"高级日志"价格更高,每条可达 100 美元以上。不过,Reliaquest 研究人员的最新分析显示,俄罗斯市场上日志售价可低至每条 2 美元。这些"泄露数据包"可能被初始访问经纪商批量采购——他们是专业的中间人,负责测试并转售网络访问权限。

StealC 还能作为次级加载器运行,能够根据 C2 指令下载并执行额外的载荷(如 .exe、MSI 或 PowerShell 脚本)。完成任务后,该恶意软件可选择性地自删除以减少取证证据。此外,StealC 会查询系统的默认语言并进行语言检查,如果语言区域与俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦或乌兹别克斯坦匹配,则立即终止自身运行。恶意软件还会尝试以受害 ID 作为事件名称创建一个 Windows 事件,受害 ID 格式为 \u003c计算机名\u003e_\u003c用户名\u003e。如果该事件已存在,恶意软件将以小于 5 秒(不同变种有所差异)的间隔进入轮询循环,直至自身的上一个实例运行结束,以避免在同一设备上出现多个并发实例。StealC 还内嵌一个过期日期,会将当前系统时间与之比较,若样本已过期则跳过所有恶意活动。

????

StealC 首先向 C2 面板发送注册请求,并构造一个 HTTP POST 请求,其中包含的载荷使用硬编码密钥进行 RC4 加密,再经 Base64 编码后,通过 HTTP POST 请求发送至 C2。解密后的 C2 响应被解析为 JSON 配置对象。如果与 C2 的注册请求失败,恶意软件将立即自终止。随后 StealC 执行全面的系统信息收集,并将结果外传给 C2。对于基于 Chromium 的浏览器(如 Chrome、Edge、Brave、Opera、Vivaldi 等),恶意软件解析浏览器在 %APPDATA% 或 %LOCALAPPDATA% 下的配置文件目录,并针对特定数据存储进行读取。为绕过 Chromium 的应用绑定加密(App-Bound Encryption,ABE),StealC 不在其自身进程内解密这些浏览器密钥,而是携带一个约 165 KB 的嵌入式载荷,将其注入一个被挂起的牺牲进程,并通过异步过程调用(APC)执行。注入过程为:在目标进程上下文中运行后,被注入模块执行进程内解密,并将明文结果写入位于 C:\ProgramData\\u003cHWID\u003e.txt 的进程间通信(IPC)文件,其中 \u003cHWID\u003e 为受害者的硬件标识符。StealC 随后从该文件读取最多 511 字节的解密输出,处理结果并删除临时文件。如果注入未成功,该流程将最多重试三次。


来源信息

来源:Microsoft Security Blog

原文链接:https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime-services-that-deliver-them/

作者:Microsoft Threat Intelligence, Microsoft Defender Security Research Team and Microsoft Digital Crimes Unit