研究人员警告网络犯罪分子使用基于Go的Aurora窃取恶意软件

一种名为Aurora Stealer的基于围棋的新恶意软件正被越来越多地部署，作为多个旨在从受损主机窃取敏感信息的活动的一部分。

网络安全公司SEKOIA表示：“这些感染链利用仿冒网页冒充合法软件的下载页面，包括加密货币钱包或远程访问工具，以及利用YouTube视频和搜索引擎优化（SEO）的假冒破解软件下载网站的911方法”。

Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告，由一名自称为Cheshire的威胁行为人提供，作为其他威胁行为人的商品恶意软件，将其描述为“具有窃取、下载和远程访问功能的多用途僵尸网络”。

在接下来的几个月里，该恶意软件已被缩减为一个窃取者，可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。

Aurora还附带了一个加载器，可以使用PowerShell命令部署下一阶段的负载。

这家网络安全公司表示，至少有不同的网络犯罪组织，称为traffers，负责将用户的流量重定向到由其他参与者操作的恶意内容，已经将Aurora添加到了他们的工具集中，无论是单独添加还是与RedLine和Raccoon一起添加。

SEKOIA表示：“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者，并充当加载器”。“在市场上以高价出售，收集的数据对网络犯罪分子特别感兴趣，使他们能够开展后续有利可图的活动，包括大型狩猎活动”。

Palo Alto Networks第42单元的研究人员详细介绍了另一款名为Typhon stealer的盗窃者的增强版，这一进展也随之展开。

新的变体被称为Typhon Reborn，旨在从加密货币钱包、网络浏览器和其他系统数据中窃取数据，同时删除以前存在的功能，如密钥记录和加密货币挖掘，以尽量减少检测。

42单元研究人员莱利·波特（Riley Porter）和乌代·普拉塔普·辛格（Udai Pratap Singh）表示：“Typhon Stealer为威胁行为者提供了一个易于使用、可配置的构建器”。

“Typhon Reborn的新反分析技术正在沿着行业路线发展，在规避策略方面变得更加有效，同时拓宽了他们窃取受害者数据的工具集”。