Omnistealer 恶意软件通过区块链 C2 收集密码和加密钱包

执行摘要

根据Malwarebytes的研究，一种名为Omnistealer的新信息窃取恶意软件正在系统性地从密码管理器、云存储应用程序和加密货币钱包中窃取凭证。其最显著的特点是使用Solana区块链进行命令与控制（C2）通信，提供了一个去中心化和弹性的基础设施，防御者难以封锁或黑洞。恶意软件针对广泛的应用程序，包括1Password、Bitwarden、NordPass、Google Chrome、Microsoft Edge、Exodus钱包以及Google Drive和OneDrive的云同步文件夹。

技术分析

Omnistealer是一个基于Windows的可执行文件，用Rust编写，这是一种越来越受恶意软件作者青睐的语言，因为它的性能和逃避检测的能力。执行后，恶意软件执行一系列系统侦察检查，包括验证调试器的存在，检查系统语言以避免俄罗斯和其他东欧地区，并确保它不在虚拟机或沙盒环境中运行，Malwarebytes研究人员发现。

如果这些反分析检查通过，窃取者开始其数据收集例程。它系统地枚举并从安装的应用程序中提取数据。对于像1Password、Bitwarden和NordPass这样的密码管理器，它针对本地缓存的数据库和配置文件。对于Chrome和Edge等浏览器，它窃取自动填充数据、保存的密码、cookies和信用卡信息。恶意软件还针对Exodus加密货币钱包，试图窃取钱包种子和私钥。此外，它扫描并复制Google Drive和Microsoft OneDrive的云存储同步文件夹的内容。

所有被盗数据都被压缩成一个ZIP存档。然后启动独特的C2机制：恶意软件查询Solana区块链。它从一个特定的、硬编码的Solana账户地址读取数据。攻击者将C2指令——特别是IP地址和端口——编码到账户的“数据”字段中。Omnistealer检索这个IP:端口组合，并用它建立一个直接的套接字连接，以窃取被窃的存档。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

根据Malwarebytes的分析，主要的TTPs包括：

• 执行 (T1204)： 需要用户执行，可能通过钓鱼或捆绑软件。
• 防御绕过 (T1497)： 实施多个反分析检查，包括调试器、虚拟机和特定系统地区。
• 发现 (T1082, T1518)： 进行系统信息发现和软件枚举。
• 收集 (T1555, T1539)： 从密码管理器和浏览器中窃取凭证；从云存储目录中收集数据。
• 命令与控制 (T1573)： 使用加密通道（Solana区块链查询后直接套接字连接）进行C2通信。
• 数据外泄 (T1041)： 通过套接字连接将被盗数据外泄到行为者控制的服务器。

威胁行为者背景

目前尚未识别出Omnistealer背后的开发者或分销商。恶意软件避免使用俄语、乌克兰语、白俄罗斯语、哈萨克语和吉尔吉斯语设置的系统是一个常见特征，这些恶意软件源自或寻求避免与东欧地区的行动者发生冲突。使用Rust和基于区块链的创新C2表明，这是一个技术上有能力的行为者，专注于操作安全和基础设施弹性。目前没有证据将Omnistealer与已知的、已建立的威胁组织联系起来。

缓解措施与建议

组织和用户应应用标准防御措施来对抗信息窃取者。在可用的情况下启用端点安全产品中的防篡改保护功能。对于密码管理器，确保主密码强大且唯一，并在支持的情况下使用硬件安全密钥进行双因素认证。考虑禁用浏览器密码保存功能，转而使用专门的、锁定的密码管理器应用程序。网络防御者可以监控对外不熟悉的IP地址和端口的出站连接，尽管区块链检索的C2的动态性质使得静态阻止变得困难。用户对钓鱼和软件下载卫生的教育仍然至关重要，因为初始感染需要用户交互。