假冒 Proton VPN 网站和游戏模组传播 NWHStealer 恶意软件

执行摘要

一种新识别的Windows信息窃取恶意软件，名为NWHStealer，正通过一场欺骗性活动进行传播，该活动利用合法服务如Proton VPN的假冒网站、流行游戏修改的下载以及所谓的硬件实用工具。这场活动避免使用大规模电子邮件钓鱼，而是依赖搜索引擎优化（SEO）和用户对知名品牌的信任，诱使受害者下载并执行恶意安装程序。一旦安装，NWHStealer会收集包括浏览器凭证、加密货币钱包信息和系统详细信息在内的广泛敏感数据。

技术分析

根据CyberSecurity News的分析报告，该恶意软件以恶意可执行文件的形式传播，通常命名为setup.exe或类似名称，捆绑在从被破坏或假冒网站下载的压缩文件中。初始感染向量是一个经典的木马化安装程序：一个看起来像是合法软件安装程序的文件，但包含隐藏的恶意负载。

NWHStealer恶意软件本身旨在数据外泄。其核心功能包括：

• 凭证盗窃：从包括Chrome、Edge、Brave和Opera在内的多种网络浏览器中刮取保存的登录数据。
• 加密货币目标：从常见目录中窃取与加密货币钱包相关的文件，如种子短语和wallet.dat文件。
• 系统侦察：收集有关受感染系统的详细信息，包括安装的软件、硬件规格和IP地址。
• 数据外泄：被盗数据被压缩并发送到由威胁行为者控制的命令与控制（C2）服务器。源报告中没有详细说明具体的C2基础设施和通信协议。

恶意软件的分发方式以其对用户意图的关注而引人注目。受害者正在积极寻找VPN软件、游戏增强（mod）或驱动程序实用工具，这使他们更有可能绕过安全警告以获得所需的软件。

入侵指标

目前没有识别出任何入侵指标。源报告没有提供与该活动相关的具体文件哈希值、域名或IP地址。

战术、技术与程序

这场活动背后的威胁行为者采用了MITRE ATT&CK框架中概述的几种技术：

• 战术：初始访问（TA0001）：
  • 技术T1583.008：获取基础设施 – 恶意页面：行为者创建并运营模仿Proton VPN等合法服务的假冒网站。
  • 技术T1189：路过式妥协：受害者可能通过SEO中毒或恶意广告被引导至这些网站。
• 战术：执行（TA0002）：
  • 技术T1204.002：用户执行 – 恶意文件：执行依赖于用户运行下载的恶意安装程序。
• 战术：收集（TA0009）：
  • 技术T1555：从密码存储中获取凭证：从浏览器管理的密码数据库中窃取凭证。
  • 技术T1552.001：不安全的凭证 – 文件中的凭证：针对包含加密货币密钥和种子的特定文件。
• 战术：命令与控制（TA0011）：
  • 技术T1071.001：应用层协议 – Web协议：通过HTTP/HTTPS将被盗数据外泄到远程服务器。

威胁行为者背景

源材料没有将NWHStealer活动归因于已知的威胁行为者群体。通过木马化软件下载进行广泛目标攻击的操作模式与以财务为动机的网络犯罪活动一致，可能作为恶意软件即服务（MaaS）或作为独立群体运营。缺乏复杂的规避技术表明，行为者优先考虑分发量和易用性，而不是隐蔽性。

缓解措施与建议

组织和个人用户可以采取几个步骤来减轻这种和类似软件供应链攻击所带来的风险：

• 仅从官方来源下载：始终直接从供应商的官方网站获取软件，特别是VPN和系统实用工具等安全工具。使用书签链接而不是搜索引擎结果。
• 验证数字签名：在运行可执行文件之前检查其数字签名。来自知名公司的合法软件通常都有签名。
• 采用强大的端点保护：使用现代的端点检测和响应（EDR）或防病毒解决方案，这些解决方案可以根据行为分析检测和阻止信息窃取恶意软件。
• 实践最小权限原则：标准用户帐户不应具有管理权限，这可以防止许多恶意软件家族的静默安装。
• 启用受控文件夹访问：在Windows系统上，使用此功能阻止对受保护目录中文件的未经授权的更改，这可以阻碍数据盗窃。
• 用户意识培训：教育用户了解从第三方或非官方站点下载软件的风险，即使在寻找常见工具或游戏修改时也是如此。