网络中存在的各类威胁错综复杂且不断变化,攻击者一直在改进其攻击方法,经常出现一些新的信息窃取恶意软件。据Cyber Security News消息,最近一种名为 PureLogs 的恶意软件以其低廉的价格、不俗的功能受到攻击者青睐。
PureLogs 是用 C# 构建的 64 位信息窃取程序,并使用 commercial.NET Reactor 打包器将其程序集捆绑到多个阶段, 能够通过 Chrome、Edge、Opera等浏览器获取私人信息,与 Lumma、Vidar 和 Meduza 等少数其他恶意软件具有相同的能力。
2022 年,PureLogs 最初在地下市场上出售,此后在多个地下论坛上进行了推广,并在 clearnet 上保留了一个帐户和专用市场。目前该程序通过将潜在客户引导至特定Telegram机器人以获得支持和销售查询,价格为每月99美元、每季度199美元、每年299美元和终身用户的499美元,是市场上最便宜的信息窃取程序之一。
根据 Flashpoint Intel Team 报告,PureLogs 分三个阶段运行。加载和执行阶段是第一个阶段,第二阶段是在加载最终信息窃取程序集之前进行反沙箱测试和网络配置。到了第三阶段,PureLogs开始实施信息窃取程序代码,并获取以下信息:
- 浏览数据
- Chrome、Edge 和 Opera 扩展
- 加密货币钱包应用程序
- 桌面应用程序
- 受害者计算机信息
文件夹、文件扩展名等都可以被 PureLogs 识别并抓取,并可将相关数据传输到 Telegram。PureLogs 的Telegram 面板可显示受害者的详细信息、被窃数据的数量、捕获的屏幕截图以及可以整个下载的日志文件。
由于该恶意软件非常易于操作、价格低廉且进入门槛低,让低水平攻击者也能成功实施较复杂的攻击操作。
