2025年，網絡安全分析師發現了一種名為卡茲竊密木馬（Katz Stealer）的高度隱蔽信息竊取程序，該惡意軟件采用惡意軟件即服務（MaaS，Malware-as-a-Service）模式運營。根據Picus安全團隊的詳細報告，這款惡意軟件的設計目標是"實現最大隱蔽性、模塊化載荷投遞和快速數據外泄"，其技術先進性令人印象深刻，同時商業化的運營模式使得即使初級攻擊者也能發起高效的數據竊取活動。

攻擊鏈分析

攻擊始于常見的釣魚郵件或虛假破解軟件下載，投遞惡意GZIP壓縮包。報告指出："壓縮包內含經過刻意混淆的JavaScript投放器，通過欺騙性變量名和復雜JavaScript技巧規避檢測分析"。該投放器采用+[]強制轉換和多態字符串構建等技術干擾分析，執行后會啟動帶有-WindowStyle Hidden參數的PowerShell命令，并完全在內存中解碼Base64數據塊，徹底規避基于磁盤的檢測機制。

卡茲竊密木馬通過cmstp.exe實現的UAC繞過 | 圖片來源：Picus

隱蔽駐留技術

該惡意軟件通過cmstp.exe利用已知的UAC繞過技術，借助惡意INF文件獲取管理員權限執行。隨后創建計劃任務實現持久化駐留，并通過進程鏤空（Process Hollowing）技術注入合法程序MSBuild.exe，偽裝成可信的微軟進程運行。報告強調："通過寄生在MSBuild進程中，惡意軟件得以混入系統正常進程，規避安全工具檢測"。

數據竊取能力

卡茲竊密木馬表現出極強的數據竊取能力，幾乎涵蓋所有存儲敏感信息的用戶應用程序：

• 瀏覽器數據：密碼、Cookies、自動填充數據、會話令牌，甚至信用卡CVV碼
• VPN與郵件客戶端：Outlook、Foxmail、Windows Live Mail等應用的憑證
• 即時通訊平臺：Discord和Telegram的令牌與會話劫持
• 加密貨幣錢包：Exodus、Electrum、MetaMask、Brave Wallet等150余種錢包

報告總結稱："簡而言之，它能竊取受感染系統上幾乎所有有價值的數據"。該惡意軟件還通過DLL注入技術滲透Chrome和Firefox瀏覽器，通過復制瀏覽器自身的解密邏輯訪問加密的密碼存儲。

Discord劫持技術

卡茲竊密木馬最具威脅的特性是其對Discord應用的持久化劫持能力。Picus解釋稱："它修改Discord應用app.asar壓縮包內的index.js文件，用于獲取并執行攻擊者提供的JavaScript代碼"。由于Discord在系統啟動時自動運行且受用戶和防火墻信任，該技術使得攻擊者能在每次Discord啟動時靜默重新感染系統。

隱蔽通信機制

惡意軟件與C2基礎設施的通信采用隱蔽持久化設計，通過TCP信標連接185.107.74[.]40等服務器，使用植入ID（如al3rbi）標識身份，并按需下載模塊。研究人員發現："其通信字符串與合法Chrome瀏覽器代理幾乎完全相同，僅在末尾添加katz-ontop標識"，這為防御者提供了獨特的威脅指標（IOC）。所有竊取數據（包括密碼、屏幕截圖和加密密鑰）均立即外傳，最大限度減少磁盤駐留時間，提高攻擊成功率。