Kraken：针对Windows的新僵尸网络程序，窃取加密货币钱包

这只新发现的僵尸网络程序Kraken与2018年发现的同名勒索软件是两个不同的程序。安全厂商ZeroFox指出，Kraken的早期版本于2021年10月上传到GitHub，属于Golang项目。但是暂时还不清楚这个GitHub项目是由恶意组织创建的，还是黑客利用GitHub项目撰写的Kraken。

虽然Kraken背后的目的尚不明确，但研究人员指出，它的功能正在不断增强。目前，Kraken已具备渗透潜伏、搜集主机资料、下载和执行恶意文件、执行shell指令、获取网络截图、窃取加密货币钱包等多种功能。

当前的Kraken版本通过后门程序SmokeLoader将RARSFX文件下载到WindowsPC，并解封包进行安装。利用SmokeLoader后门进行传播，使得攻击者在切换到新的C&C服务器时能够快速感染数百台计算机。

安装Kraken时，它会采用两种方法维持在PC中。首先，通过执行Powershell指令告诉Microsoft Defender跳过Kraken安装目录，其次，执行attrib隐藏指令，使其复制的.EXE文件无法通过文件管理器显示。此外，它还会添加新的机器码，以便在用户每次登录WindowsPC时执行一次。

从去年10月到12月，Kraken的主要行动是传播窃密工具，尤其是RedLineStealer，用于将PC的信息回传给外部C&C服务器。上周，HP安全研究人员发现另一波攻击通过伪装成Windows更新程序，诱使用户安装RealLine窃密程序。在这轮攻击中，Kraken收集的信息包括主机和用户名称、Windows版本、CPU和GPU信息等等，外部黑客还可以通过C&C指令获取截图。

ZeroFox还观察到一些受害者计算机上安装了其他窃密程序和挖矿软件。目前，Kraken每月的收入已经达到3,000美元。

研究人员建议用户将杀毒和入侵检测软件更新到最新版本，启动双重验证以减少钓鱼和账号填充（credential stuffing）攻击，并避免打开来路不明的邮件附件或链接。