ForceCopy 竊取程式：針對 Web 瀏覽器資料的隱性威脅

臭名昭著的黑客組織武器庫中的新工具

網路安全專家發現了一種名為 forceCopy Stealer 的複雜網路威脅，這是一種在有針對性的攻擊中部署的資訊收集工具。該竊取者與Kimsuky有關，Kimsuky 是一個有據可查的駭客組織，據信與北韓情報部門有聯繫。最近的報告表明，Kimsuky 一直在利用網路釣魚技術傳播 forceCopy Stealer，重點是獲取儲存在網路瀏覽器中的敏感用戶資料。

攻擊者如何部署暴力拷貝竊取程序

forceCopy Stealer 的傳播方式是圍繞著精心製作的看似合法的欺騙性電子郵件。這些電子郵件通常包含偽裝成 Microsoft Office 或 PDF 文件的附件，但實際上是 Windows 捷徑 (LNK) 檔案。一旦收件者開啟文件，它就會透過 PowerShell 或 Microsoft 的 mshta.exe 啟動惡意腳本——這兩者都是經常被用於未經授權目的的合法系統工具。

執行這些腳本後，將從外部來源檢索額外的有效載荷。然後，攻擊者除了 forceCopy Stealer 之外還部署了其他工具，包括一個名為 PEBBLEDASH 的知名木馬和名為 RDP Wrapper 的開源遠端桌面實用程式的修改版本。這些組件協同工作以建立對受感染系統的長期存取權限。

forceCopy Steler 的核心功能

從本質上講，forceCopy Stealer 旨在從與 Web 瀏覽器相關的特定位置提取資料。主要目標似乎是瀏覽器設定文件，其中可能包含儲存的登入憑證。透過關注這些目錄，該工具可以繞過某些針對傳統憑證盜竊技術的安全限制。由於網頁瀏覽器通常會儲存密碼和其他敏感資訊以方便使用者使用，因此有權存取這些文件的攻擊者可能會檢索各種線上服務的登入詳細資訊。

暴力拷貝竊取者活動的影響

ForceCopy Stealer 的部署引發了人們對其對網路安全的更廣泛影響的擔憂。被盜的瀏覽器資料可被用於多種用途，包括未經授權存取帳戶、身分詐欺或進一步的有針對性的攻擊。此外，由於竊取程式與鍵盤記錄器和基於代理程式的通訊系統等其他惡意工具一起使用，受影響的個人或組織可能會面臨長期的安全風險。

Kimsuky 策略的一個顯著轉變是使用 RDP Wrapper 和代理惡意軟體等工具，這些工具允許攻擊者持續存取受感染的機器。這代表了其方法的進化，放棄了以前使用的後門，轉而採用更模組化和自適應的方法。

持續且不斷演變的威脅

Kimsuky，也稱為 APT43 和 Emerald Sleet，已經活躍了十多年。他們經常採用社會工程策略來繞過安全措施。他們能夠客製化網路釣魚活動並利用合法工具進行惡意目的，這使他們成為網路安全領域的持續威脅。

最近的調查結果表明，該組織繼續改進其攻擊方法，其中 forceCopy Stealer 是其最新添加的攻擊手段。對瀏覽器資料竊取的重視凸顯了人們對憑證的持續興趣，可能是為了間諜活動或經濟利益。這項發展強調了使用者需要保持警惕，並謹防網路釣魚企圖和未經授權的資料存取。

加強對瀏覽器資料竊取的防禦

鑑於基於瀏覽器的憑證儲存的使用日益增多，實施針對 forceCopy Stealer 等威脅的保護措施非常重要。用戶在處理電子郵件附件時應小心謹慎，尤其是來自未知來源的附件。組織應加強電子郵件安全協議並監控可能表明未經授權的遠端存取嘗試的可疑活動。

透過了解 forceCopy Stealer 的運作方式以及 Kimsuky 等團體所採用的策略，每個人都可以採取主動措施保護自己的數位資產並降低此類網路威脅的風險。