在野外发现用于“教育目的”的开源窃取恶意软件 MERCURIAL

SonicWall Capture Labs 威胁研究团队发现了源自 Mercurial 密码窃取器系列的数据盗窃恶意软件。该恶意软件是开源的，可在 github 上轻松获得，“仅用于教育目的”。因为它是开源的，所以只需很少的编程专业知识就可以轻松定制和部署。该恶意软件是用 C# 编写的，反编译起来很简单。

感染周期：

感染后，恶意软件会将自身复制到%APPDATA\Local\Temp\。它还将自己添加到注册表中，以便在每次重新启动后启动它：

它扫描系统以获取浏览器配置文件信息：

除了搜索浏览器数据，它还搜索 Minecraft 启动配置文件和 Discord Level DB 文件：

它包含一个非常基本的反调试级别：

从系统收集的任何信息都通过 HTTP POST 请求发送给操作员：

SonicWall Capture Labs 通过以下签名提供针对此威胁的保护：

• GAV：Blitzed.N （特洛伊木马）

SonicWall Capture ATP w/RTDMI 和 Capture Client 端点解决方案也检测到此威胁 。