ForceCopy 窃取程序：针对 Web 浏览器数据的隐秘威胁

臭名昭著的黑客组织武器库中的新工具

网络安全专家发现了一种名为 forceCopy Stealer 的复杂网络威胁，这是一种部署在有针对性攻击中的信息收集工具。该窃取程序与Kimsuky有关，Kimsuky 是一个有据可查的黑客组织，据信与朝鲜情报部门有关联。最近的报告表明，Kimsuky 一直在利用网络钓鱼技术分发 forceCopy Stealer，重点是获取存储在网络浏览器中的敏感用户数据。

攻击者如何部署暴力拷贝窃取程序

forceCopy Stealer 的传播方式是围绕伪装成合法的欺骗性电子邮件。这些电子邮件通常包含伪装成 Microsoft Office 或 PDF 文档的附件，而实际上附件是 Windows 快捷方式 (LNK) 文件。收件人打开文件后，它会通过 PowerShell 或 Microsoft 的 mshta.exe 激活恶意脚本——这两者都是合法的系统工具，经常被用于未经授权的目的。

执行这些脚本后，会从外部源检索其他有效负载。然后，攻击者会与 forceCopy Stealer 一起部署其他工具，包括一款名为 PEBBLEDASH 的著名木马和一款名为 RDP Wrapper 的开源远程桌面实用程序的修改版。这些组件协同工作，以建立对受感染系统的长期访问权限。

forceCopy Steler 的核心功能

forceCopy Stealer 的核心功能是从与 Web 浏览器相关的特定位置提取数据。其主要目标似乎是浏览器配置文件，其中可能包含存储的登录凭据。通过关注这些目录，该工具可以绕过某些安全限制，从而防止传统的凭据窃取技术。由于 Web 浏览器通常会存储密码和其他敏感信息以方便用户使用，因此有权访问这些文件的攻击者可能会检索各种在线服务的登录详细信息。

forceCopy 窃取者活动的影响

forceCopy Stealer 的部署引发了人们对网络安全更广泛影响的担忧。被盗浏览器数据可能被以多种方式利用，包括未经授权访问账户、身份欺诈或进一步的针对性攻击。此外，由于窃取程序与其他恶意工具（如键盘记录器和基于代理的通信系统）一起使用，受影响的个人或组织可能面临长期安全风险。

Kimsuky 策略的一个显著变化是使用 RDP Wrapper 和代理恶意软件等工具，这些工具允许攻击者保持对受感染机器的持续访问。这代表他们的方法发生了变化，他们不再使用以前使用的后门，而是采用更模块化、更自适应的方法。

持续且不断演变的威胁

Kimsuky 又名 APT43 和 Emerald Sleet，已经活跃了十多年。他们经常使用社交工程手段来绕过安全措施。他们能够定制网络钓鱼活动并利用合法工具进行恶意攻击，这使他们成为网络安全领域的持续威胁。

最近的调查结果表明，该组织继续改进其攻击手段，forceCopy Stealer 是其最新武器。该组织重点关注浏览器数据窃取，凸显了其对凭证的持续关注，可能是为了间谍活动或经济利益。这一发展凸显了用户需要对网络钓鱼企图和未经授权的数据访问保持警惕。

加强对浏览器数据窃取的防御

鉴于基于浏览器的凭证存储的使用日益增多，实施针对 forceCopy Stealer 等威胁的保护措施非常重要。用户在处理电子邮件附件时应谨慎，尤其是来自未知来源的附件。组织应加强电子邮件安全协议并监控可能表明未经授权的远程访问尝试的可疑活动。

通过了解 forceCopy Stealer 的运作方式以及 Kimsuky 等团体所采用的策略，每个人都可以采取主动措施保护自己的数字资产并降低此类网络威胁的风险。