泰坦窃取者

安全研究人员发现了一种新的有害威胁，称为 Titan Stealer。 Titan Stealer 是用 Go 编程语言编写的，网络犯罪分子正在他们的 Telegram 频道上做广告。 Titan Stealer 旨在从 Windows 计算机收集多种数据，包括来自 Web 浏览器和加密货币钱包的密码和用户名、FTP 客户端数据、屏幕截图、系统信息以及它可以访问的任何文件。网络安全研究员 Will Thomas (@BushidoToken) 于 2022 年 11 月发布了有关此特定恶意软件威胁的第一个信息。

Titan Stealer 的威胁能力

Titan Stealer 正在威胁用于从受害者机器收集敏感数据的软件。 Titan Stealer 采用一种称为进程挖空的技术，将有害负载注入合法 AppLaunch.exe 进程的内存中，该进程是 Microsoft.NET ClickOnce 启动实用程序的一部分。 Titan Stealer 针对主要的 Web 浏览器，例如 Chrome、Firefox、Edge、Yandex、Opera、Brave、Vivaldi、7 Star Browser 和 Iridium Browser。

Titan Stealer 还针对加密钱包，例如 Armory、Atomic、Bytecoin、Coinomi、Edge Wallet、Ethereum、Exodus、Zcash 和 Guarda Jaxx Liberty。此外，Titan Stealer 还可以收集有关受感染机器上已安装应用程序的信息，并捕获与 Telegram 桌面应用程序相关的数据。然后将收集到的数据以 Base64 编码的存档文件的形式发送到远程服务器，供攻击者使用。 Titan Stealer 还带有一个 Web 面板，允许攻击者访问收集到的数据。 Titan Stealer 作为构建器提供给客户，允许他们调整威胁的二进制文件以匹配他们特定的威胁目的和他们想要获取的确切信息类型。

网络犯罪分子转向 Golang 获取信息窃取恶意软件

据观察，威胁行为者使用谷歌开发的一种编程语言 Golang 来创建他们的信息窃取恶意软件。 Go 以简单、高效和性能着称，这使其成为攻击者的理想选择，他们希望创建可在多个操作系统（如 Windows、Linux 和 macOS）上执行的跨平台恶意软件。 Titan Stealer 就是这种趋势的一个例子。

Golang 的使用还允许网络犯罪分子创建小型二进制文件，这些文件更难被安全软件检测到。此外，该语言的易用性使黑客更容易快速开发有害代码，而无需花费太多时间学习复杂的语言。对于那些希望快速部署恶意软件的人来说，这是一个很有吸引力的选择。