行業新聞與部落格

據 Palo Alto Networks 旗下 Unit 42 的研究人員稱，新版本的 Gremlin 竊取程式已從基本的憑證收集器演變為模組化工具包。

資訊竊取程式最早出現於 2025 年 4 月，僅僅 12 個月後，該威脅就迅速演變，在最近的版本中加入了新的混淆技術和新的反分析安全措施。

Gremlin 竊取器會從受感染的系統中竊取敏感資訊，並將其洩露到攻擊者控制的伺服器上，以備釋出或出售。它的目標是網頁瀏覽器、系統剪貼簿和本地儲存。

根據研究，新變種更加註重隱蔽性，並且專門設計用於規避靜態分析工具。

這包括惡意軟體作者將惡意有效載荷轉移到 .NET 資源部分，並使用 XOR 編碼對其進行掩蓋，以繞過基於簽名的檢測和啟發式掃描。

核心架構和透過私有網頁面板或 Telegram Bot API 進行資料外洩的方法與舊版本保持一致。

新資料釋出網站

新變種將竊取的資料洩露到新部署的站點（hxxp [:] 194.87.92 [.] 109）。

令人擔憂的是，Unit 42 的分析指出，當他們發現這個新的資料釋出網站時，VirusTotal 並未檢測到該網站、其關聯的 URL 或任何已檢索到的惡意檔案。既沒有黑名單條目，也沒有社群報告或惡意分類。

資料竊取後，惡意軟體將收集到的資料打包到一個 ZIP 壓縮檔案中，其中包括：

• 瀏覽器 Cookie
• 會話令牌
• 剪貼簿內容
• 加密貨幣錢包資料
• FTP 和 VPN 憑據

該惡意軟體使用受害者的公共 IP 地址來識別檔案來源，然後將其上傳到攻擊者控制的網站。

最新版 Gremlin 的主要改進

Palo Alto Networks 旗下 Unit 42 的分析師表示，最新變種現在包含一個專門用於提取 Discord 令牌的模組，這些令牌可用於透過社交工程攻擊來竊取數字身份。

與此同時，該惡意軟體在金融領域也展現出更強的攻擊性。研究人員發現，它新增了“加密貨幣剪幣器”功能，使 Gremlin 能夠主動干擾加密貨幣交易。

透過監控受害者剪貼簿上的錢包地址，並將其與攻擊者控制的地址進行交換，該惡意軟體可以在使用者不知情的情況下即時轉移資金。

更新後的版本還引入了基於 WebSocket 的會話劫持功能，攻擊者可以直接從執行程序中劫持活動的瀏覽器會話，繞過現代 cookie 保護措施，並立即訪問已驗證的帳戶。

研究人員指出：“Gremlin 竊取程式的最新版本代表著一種更復雜威脅的演變。它從簡單的資料洩露工具轉變為更高階的模組化竊取程式，現在專門針對基於 Chromium 的瀏覽器。”