瞄准Windows的新僵尸网络程序Kraken，除了窃取用户PC信息还偷走加密货币钱包

technews • 2023年8月25日 15:50 • 投稿

安全厂商发现一只具有多种能力的新僵尸网络程序Kraken，不但会窃取Windows PC资讯、还会挖矿及执行恶意程序。

这只新发现的僵尸网络程序Kraken，和2018年发现同名的勒索软件是不同的两只。安全厂商ZeroFox指出，Kraken早期版本于2021年10月上传到GitHub，属于Golang项目，不过，究竟是该GitHub项目属于恶意组织，或是黑客利用GitHub项目来撰写Kraken则不得而知。

图片来源/ZeroFox Intelligence

Kraken背后的目的为何不明，但研究人员指出，虽然它功能很简单，但功能快速增进中，目前已具有渗透潜伏、搜集主机资料、下载和执行恶意档案、执行shell指令、取得网络截图、窃取加密货币钱包等多种功能。

目前的Kraken版本是经由后门程序SmokeLoader下载RAR SFX档到Windows PC，再解封包安装。而利用SmokeLoader后门散布，使攻击者每次转换到新的C&C服务器时，就能快速感染数百台电脑。

图片来源/ZeroFox Intelligence

安装时Kraken会用两个方法维持长驻在PC中。首先，它通过执行Powershell指令告诉Microsoft Defender防毒引擎跳过Kraken安装的目录，二是执行attrib隐藏指令，使其复制的. EXE文件无法经由档案总管显示。此外它还会加入新机码以便每次用户登录Windows PC都会执行一次。

从去年10月到12月，Kraken行动主要是散布窃密工具，特别是RedLine Stealer以搜集PC的数据回传给外部C&C服务器。上周HP安全研究人员才发现，另一波攻击透过伪装Windows更新程序，诱使用户安装 RealLine窃密程序。而在这波攻击中，Kraken搜集的数据包括主机和用户名称、Windows 版本、CPU及GPU资讯等等，外部骇客还可下达摄图指令以C&C接收信息。

ZeroFox也观察到某些受害者电脑被Kraken安装了其他窃密程序及挖矿软件。目前它已经每月进帐3，000美元。

研究人员建议用户将防毒及入侵侦测软体更新到最新版、启动双因素验证以降低钓鱼及帐号填充（credential stuffing）攻击，并避免开启来路不明的信件附档或连结。