Uptycs 威脅研究團(tuán)隊(duì)報(bào)告稱，發(fā)現(xiàn)了一個(gè)名為 Meduza Stealer 的新型惡意軟件，專門(mén)針對(duì) Windows 用戶和組織。

Meduza Stealer 旨在全面竊取數(shù)據(jù)，包括竊取用戶的瀏覽活動(dòng)、提取大量與瀏覽器相關(guān)的數(shù)據(jù)。范圍涵蓋關(guān)鍵的登錄憑據(jù)到有價(jià)值的瀏覽歷史記錄和書(shū)簽等，沒(méi)有任何數(shù)字工件是安全的；甚至加密錢(qián)包擴(kuò)展、密碼管理器和 2FA 擴(kuò)展也容易受到攻擊。“如果不加以控制，受影響者可能會(huì)遭受?chē)?yán)重后果，包括經(jīng)濟(jì)損失和可能對(duì)組織產(chǎn)生深遠(yuǎn)影響的大規(guī)模數(shù)據(jù)泄露?！?/p>

報(bào)告指出，Meduza Stealer 的管理員一直在使用 “復(fù)雜的營(yíng)銷(xiāo)策略” 在推廣該惡意軟件。他們使用了一些業(yè)界最知名的防病毒軟件對(duì) Meduza 竊取文件進(jìn)行靜態(tài)和動(dòng)態(tài)掃描。隨后分享檢測(cè)結(jié)果的屏幕截圖稱，這種強(qiáng)大的惡意軟件可以逃避頂級(jí)防病毒解決方案的檢測(cè)。

Meduza Stealer 的狡猾之處在于其操作設(shè)計(jì)。該二進(jìn)制文件沒(méi)有采用混淆技術(shù)，因此更難識(shí)別和追蹤。此外，它在開(kāi)始從受害者機(jī)器上竊取數(shù)據(jù)之前，會(huì)設(shè)法與攻擊者的服務(wù)器建立連接。如果連接失敗，它會(huì)立即終止，從而使增加追蹤的難度。

為了吸引潛在客戶，其通過(guò)網(wǎng)絡(luò)面板提供被盜數(shù)據(jù)的訪問(wèn)權(quán)限；向潛在客戶展示了不同的訂購(gòu)選項(xiàng)：一個(gè)月 199 美元、三個(gè)月 399 美元或終身計(jì)劃。用戶訂閱后即可完全訪問(wèn) Meduza Stealer 網(wǎng)絡(luò)面板，該面板提供受感染計(jì)算機(jī)上的 IP 地址、計(jì)算機(jī)名稱、國(guó)家名稱、存儲(chǔ)密碼數(shù)量、錢(qián)包和 cookie 等信息。然后訂閱者可以直接從網(wǎng)絡(luò)面板下載或刪除被盜數(shù)據(jù)，而數(shù)據(jù)刪除功能可以保證其他訂閱者無(wú)法使用該信息。

一旦成功滲透到機(jī)器中，Meduza Stealer 就會(huì)開(kāi)始行動(dòng)。它執(zhí)行的第一步是地理位置檢查，如果受害者的位置在竊取者預(yù)定義的排除國(guó)家列表中（俄羅斯、哈薩克斯坦、白俄羅斯、格魯吉亞、土庫(kù)曼斯坦、烏茲別克斯坦、亞美尼亞、吉爾吉斯斯坦、摩爾多瓦和塔吉克斯坦），惡意軟件操作會(huì)立即中止。

但是如果不在列表中，Meduza Stealer 會(huì)檢查攻擊者的服務(wù)器是否處于活動(dòng)狀態(tài)。如果服務(wù)器無(wú)法訪問(wèn)，竊取者也會(huì)立即終止其活動(dòng)。如果位置檢查和服務(wù)器可訪問(wèn)性這兩個(gè)條件都有利，那么竊取者就會(huì)繼續(xù)收集大量信息；包括收集系統(tǒng)信息、瀏覽器數(shù)據(jù)、密碼管理器詳細(xì)信息、采礦相關(guān)注冊(cè)表信息以及已安裝游戲的詳細(xì)信息。

研究人員指出，該惡意軟件收集的各種數(shù)據(jù)類(lèi)型表明，感染具有廣泛的潛在影響；因?yàn)樗粌H針對(duì)個(gè)人和財(cái)務(wù)數(shù)據(jù)，還針對(duì)特定系統(tǒng)和潛在的專有信息。收集到的數(shù)據(jù)被迅速上傳到攻擊者的服務(wù)器，加劇了漏洞發(fā)生的速度以及對(duì)有效檢測(cè)和保護(hù)措施的迫切需要。

為了防御 Meduza Stealer 等惡意軟件攻擊，建議：

定期安裝操作系統(tǒng)、瀏覽器和已安裝應(yīng)用程序的更新，以修補(bǔ)惡意軟件可以利用的漏洞。

下載文件或打開(kāi)電子郵件附件時(shí)要小心，尤其是來(lái)自未知來(lái)源的文件或打開(kāi)電子郵件附件時(shí)。打開(kāi)文件之前使用安全軟件掃描文件。

為所有帳戶（包括瀏覽器、電子郵件和加密貨幣錢(qián)包）采用強(qiáng)大而獨(dú)特的密碼?？紤]使用密碼管理器來(lái)安全地存儲(chǔ)和管理密碼。

盡可能啟用 2FA，為帳戶添加額外的安全層。即使密碼被泄露，這也有助于防止未經(jīng)授權(quán)的訪問(wèn)。

僅安裝來(lái)自受信任來(lái)源的瀏覽器擴(kuò)展。定期檢查并刪除不必要或可疑的擴(kuò)展程序，以最大限度地降低惡意軟件干擾的風(fēng)險(xiǎn)。

密切關(guān)注財(cái)務(wù)賬戶，包括加密貨幣錢(qián)包，并定期查看交易歷史記錄是否有任何可疑活動(dòng)。立即報(bào)告任何未經(jīng)授權(quán)的交易或安全漏洞。