近日，深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒，该病毒由 .NET 语言编写，套用了开源软件 StormKitty 的部分代码。经过分析发现该病毒功能尚不完善且手法相对简单，该窃密程序已在黑客论坛售卖，后续可能还会持续更新。

大多数计算机感染源于用户打开恶意电子邮件附件、点击有害链接或从不可信的来源下载文件。攻击者还使用特洛伊木马、虚假安装程序、虚假软件更新和类似方法来诱导用户并感染他们的计算机。

MITRE ATT&CK

解混淆

首先查看文件的信息，发现是.NET写的32位程序，拖进dnspy发现存在混淆，使用de4dot经过多次解混淆之后查看该文件：

收集ARP信息

首先通过cmd执行arp -a命令收集主机arp信息

收集FileZilla信息

通过读取 recentservers.xml 和 sitemanager.xml 两个文件的内容获取ftp服务器账号密码。

之后将收集到的信息写入到C:WondowsHosts.txt中。

收集主机信息

使用通过WMI接口获取计算机CPU和显卡信息，之后与主机名，用户名进行拼接计算MD5：

收集主机反病毒软件信息

此外还包括：系统语言、公网IP、系统时间、操作系统和系统版本、内存大小、磁盘系列号、BIOS信息、MAC地址、子网扫描、内网IP。

收集浏览器信息

包括Opera、Google Chrome、MapleStudio ChromePlus、Iridium、7Start、CentBrower、Chedot、Vivaldi、Kometa、Element Browser、Epic Privacy Brower、uCozMedia、Chromium、Sleipnir、Citrio、Coowon、liebao、QIP Surf、Orbitum、Comodo、Amigo、Torch、Yandex、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、Brave-Browser、Edge，FireFox、WaterFox、Thunderbird、IceGragon、Cyberfox、BlackHaw、Pale Moon等众多浏览器保存的账号密码、cookie、搜索历史、***等信息，此时收集到的信息将被保存到C:Windows目录下的众多txt中。

发送数据

收集到的信息将以明文的形式发送到 Telegram 机器人中：

文件同样会被使用POST的方式发向Telegram，随后删除保存的txt文件

病毒运营者自述可以获取游戏客户端（Steam，Minecraft）账号，但在分析调试的时候暂未发现相关代码调用。