神话窃取者：虚假游戏下载背后隐藏的恶意软件

Table of Contents

隐藏在显而易见的威胁

一款名为Myth Stealer的恶意软件因其欺骗性策略和强大功能而受到网络安全研究人员的密切关注。该恶意软件采用Rust （一种以速度和安全性著称的编程语言）开发，通过巧妙伪装的下载内容（主要托管在虚假游戏网站和论坛上）攻击毫无戒心的用户。

Myth Stealer 并不依赖恐吓手段或暴力破解，而是用合法的外表掩盖其真实本质。一旦启动，它会向用户显示一个看似无害的安装程序窗口。但在这看似无害的外表之下，它正在悄悄执行代码，窃取敏感信息。

神话窃取者背后的机制

Myth Stealer 的感染手段十分复杂。加载程序运行后，会在后台解密其主要组件，同时显示一个虚拟的安装界面以消除怀疑。这使得它能够隐藏在正常的软件行为中，并在安装过程中逃避检测。

该恶意软件的主要任务是收集各种用户数据。它可以从基于 Chromium 的浏览器（例如 Chrome 和 Edge）以及基于 Gecko 的浏览器（例如 Firefox）中提取密码、浏览器 Cookie 和自动填充数据。然后，窃取的信息会被发送到远程服务器，或者在某些情况下直接发送到 Discord webhook——这种方法既快速又难以追踪。

社会工程学在工作中

Myth Stealer 不仅通过技术手段传播，还通过巧妙的社交操控进行传播。许多受感染的下载文件在论坛或网站上分享，伪装成可以访问早期版本或破解版电子游戏和游戏增强工具的平台。DDrace 就是这样一款工具，它被用作在线论坛上分享的假冒版本的诱饵。

一些虚假游戏广告甚至被托管在谷歌Blogger等平台上，这让它们看起来更加可信。事实上，另一款名为AgeoStealer的恶意软件也采用了类似的传播策略，这表明利用游戏作为恶意软件传播载体的趋势正在扩大。

暗网经济一瞥

Myth Stealer 尤其令人担忧的是其转向了恶意软件即服务(MaaS) 模式。该恶意软件最初于 2024 年 12 月在 Telegram 上免费推广，现在却被付费提供给网络犯罪分子，实际上变成了一种网络盗窃的租赁工具。其开发者甚至利用 Telegram 频道宣传其服务并出售被盗账户信息，直到这些频道被关闭。

这一趋势反映出地下经济的不断增长，在地下经济中，人们可以买卖像 Myth Stealer 这样的工具，让不太懂技术的犯罪分子也能获得高级软件。

对日常用户的影响

虽然听起来像是间谍惊悚片里的情节，但像 Myth Stealer 这样的恶意软件在现实世界中的影响却非常明显。对于普通用户来说，威胁不仅在于感染的技术层面，还在于使其有效发挥作用的心理操控。如果你曾经试图从非官方网站下载游戏或作弊软件，那么你面临的风险可能不仅仅是电脑故障——你还可能泄露你的数字身份。

Myth Stealer 的攻击范围远不止浏览器。研究人员发现，它会试图关闭网页浏览器的运行进程，以避免被发现，并确保数据窃取更加顺利。它还采用了反分析功能，例如混淆代码字符串和检查系统中是否存在分析环境，这进一步增加了研究或清除它的难度。