一款名为PupkinStealer的新型信息窃取病毒正通过Telegram平台快速传播,该病毒专门盗取浏览器密码、桌面文件及社交软件会话密钥等核心隐私数据。据网络安全公司CYFIRMA最新报告显示,这款基于.NET框架开发的恶意软件自2025年4月首次现身后,已展现出极强的破坏力。
相较于传统病毒,PupkinStealer具有”精准打击”的特征。它不像普通恶意软件那样广撒网式攻击,而是针对性地收集高价值信息:从Chromium内核浏览器(如Chrome、Edge)中解密存储的账号密码;窃取Telegram的tdata会话文件夹实现免密登录;盗取Discord身份令牌实施账号伪装;甚至会自动拍摄1080P高清屏幕截图。所有窃取数据最终被打包成加密压缩文件,通过Telegram机器人实时传送给攻击者。
技术分析显示,这款6.21MB大小的32位Windows程序暗藏玄机。虽然采用C#语言开发且未使用传统加壳技术,但其通过Costura库嵌入压缩DLL文件,使得.text区段熵值高达7.998,极大增加了检测难度。病毒运行时首先初始化.NET环境,通过异步任务模块执行多线程数据窃取,每个功能模块都经过精心设计:
在密码破解方面,病毒会从浏览器的Local State文件中提取解密密钥,利用Windows数据保护API对SQLite数据库中的密码进行AES-GCM解密;文件窃取模块则专门扫描桌面上的PDF、TXT、图片等常用格式文档;针对即时通讯软件的渗透更为隐蔽——直接复制Telegram的会话文件夹,使用正则表达式提取Discord的leveldb数据库令牌。
值得关注的是,攻击者选择Telegram作为数据传输渠道颇具深意。该平台不仅提供匿名机器人API接口,其端到端加密特性更成为犯罪分子的”保护伞”。病毒将窃取数据打包为ZIP文件后,会通过名为”botkanalchik_bot”的机器人账号发送,压缩包内嵌含用户名称、公网IP、Windows安全标识符等元数据,俨然构建起完整的受害者数字画像。
安全专家在代码中发现了”由Ardent编写”的开发者签名,结合Telegram元数据中的俄语痕迹,推测幕后黑手可能来自俄语黑客组织。这种轻量化设计的恶意软件极易通过软件供应链攻击或钓鱼邮件传播,普通用户点击伪装成破解工具、游戏外挂的可执行文件后即会中招。
面对这种新型威胁,企业安全团队建议采取多维度防御措施:首先需加强员工安全意识培训,警惕来路不明的文件;其次应强制启用多因素认证,尤其在Telegram、Discord等通讯工具上;技术层面建议部署流量监测系统,特别关注向Telegram API的异常外联请求。个人用户则应及时更新杀毒软件,避免在浏览器保存敏感密码,重要文件建议使用加密存储。
随着黑产技术的平民化趋势,这类”小而精”的信息窃取病毒正成为网络犯罪的主流工具。安全专家警告,PupkinStealer可能已在地下论坛以”恶意软件即服务”模式流通,其模块化设计允许攻击者快速定制攻击目标,预计未来会出现更多变种。
