警惕！TROX Stealer 利用社会工程学实施数据盗窃

一种新被识别出的恶意软件，名为 TROX Stealer，已成为对消费者数据安全的重大威胁，它利用心理操纵手段和复杂的技术来窃取敏感信息。

Sublime Security 的分析师在 2024 年 12 月首次发现了这种恶意软件即服务（MaaS）产品，它的目标是存储的信用卡信息、浏览器凭据、加密货币钱包，以及诸如 Discord 和 Telegram 等平台的会话文件。

该恶意软件采用每周订阅模式运行，能够快速部署短期攻击活动，注重攻击数量而非长期持续性。

TROX Stealer 通过利用基于紧迫性的社会工程学手段而与众不同。

攻击者通过伪装成债务催收通知或法律威胁的电子邮件来发送有效载荷，利用受害者的焦虑情绪来绕过他们的仔细审查。

这些信息通常是使用大语言模型（LLM）生成的，它们会引导收件人访问托管恶意可执行文件的仿冒域名。

有效载荷采用了多层混淆技术，包括将 Python 代码编译成本地二进制文件以及 WebAssembly（Wasm）偷渡技术，以逃避检测。

Sublime Security 的研究人员发现，该恶意软件的基础设施显示出一种有条理的操作安全方法。

像 documents [.] debt-collection-experts [.] com 这样的攻击域名使用了带令牌的下载链接，以防止再次感染并增加分析难度。

该攻击活动的核心依赖于像 89.185.82.34（一个可疑的Tor出口节点）这样的 IP 地址，以及受 Cloudflare 保护的服务器，这表明恶意软件的编写者在匿名化方面下了功夫。

感染机制：从社会工程学到无声执行

感染链始于一封精心制作的电子邮件，这封邮件敦促收件人立即采取行动以避免法律后果。

一个典型的主题行是 “最后警告：您的账户即将面临法律诉讼”，它会引导受害者点击一个标有 “债务催收法院文件” 的链接。

点击该链接会触发下载一个名为 DebtCollectionCase#######.exe 的可执行文件，其中占位符代表一个唯一的七位数标识符。

下载的可执行文件是使用 Nuitka 将 Python 脚本编译成本地二进制文件的，它会将组件提取到一个临时目录（% Temp%\onefile_11536_133873237425638862）中。

这些组件包括：

1.一个模仿合法法律文件的诱饵 PDF 文件（例如 client_pdf_case_388.pdf）

2.一个嵌入恶意 JavaScript 代码的 Node.JS 解释器（node700.exe）

3.像 python312.dll 和 libcrypto-3.dll 这样的支持库

Python 脚本编排文件执行，分析过程中提取的内部文档显示：

def install_files(user_profile, target_dir, source_dir, exe_pattern, pdf_pattern):

# 将 ‘node*.exe’ 和PDF文件复制到AppData目录

…  def run_files(user_profile, target_dir, exe_pattern, pdf_pattern):

# 执行Node.JS二进制文件并打开诱饵PDF文件

…

诱饵 PDF 文件包含元数据工件，例如 “Modified: Copy\040388”，这是通过 PyPDF2 自动生成的签名。

与此同时，Node.JS 二进制文件会执行一个 Base64 编码的 WebAssembly 模块，使 Rust 编译的有效载荷能够在内存中运行：

var bytes = Buffer2.from(“AGFzbQEAAAABvwRHYAJ/fwBgAX8AYAJ/fwF/YAN/f38Bf2ADf39/A…”);  var wasmModule = new WebAssembly.Module(bytes);  var wasmInstance = new WebAssembly.Instance(wasmModule, imports);

这个 2MB 的 Wasm 二进制大对象包含超过 4700 个函数，其中许多函数与系统 API 交互以获取数据。

执行后，该恶意软件会将受害者系统的 JSON 配置文件发送到 172.22.117.177:2777，其中包括硬件规格和操作系统详细信息：

{

“username”: “admin”,

“osType”: “Windows_NT”,

“cpuModel”: “Intel(R) Core(TM) i5-6400”,

“totalMemoryGB”: “3.99”  }

这个 IP 地址注册在伦敦的 “STARK INDUSTRIES SOLUTIONS LTD.” 名下，解析后指向一台托管有额外有效载荷（.json 和.js 文件）的服务器，这表明它具有动态的命令与控制（C2）能力。

TROX Stealer 使用基于紧迫性主题的诱饵以及快速变化的基础设施，使得传统的基于指标（IOC）的检测变得复杂。

防御者应优先对诸如从临时目录生成 node*.exe 进程以及与高风险 IP 进行出站连接等行为进行监控。

该恶意软件对 Wasm 和由大语言模型生成的诱饵的依赖，凸显了需要先进的电子邮件安全解决方案，以便能够在社会工程学威胁到达终端用户之前将其拦截。