该恶意软件被研究人员称为“Stealc”，除暗网外，还在明网上的几个俄语黑客和网络犯罪论坛上得到推广。截至目前，Stealc恶意软件仅针对Windows设备并从浏览器、加密货币钱包、即时通讯软件和电子邮件客户端窃取数据。Sekoia的网络安全研究人员发布了名为Stealc的新型信息窃取恶意软件的详细信息，该恶意软件已出现在多个地下黑客论坛和暗网上。据研究人员称，使用别名“Plymouth”的威胁行为者开发了该恶意软件，并在暗网上为其做广告。这种恶意软件不同，因为它同时从受害者和客户那里窃取数据。它也在Telegram频道上得到推广。

威胁行为者表示，Stealc目前的版本为v1.3.0，是功能齐全且随时可用的恶意软件。它不是从头开始构建的，而是基于其他流行的信息窃取恶意软件，如Racoon、Vidar和Redline Stealer。恶意软件不断升级；据研究人员称，它每周都会进行调整。它于2023年1月首次被发现。

在目标PC安装后，恶意软件会启动反分析检查，以确保它没有在沙箱或虚拟环境中运行。它加载Windows API函数并与C2中心建立连接。它发送攻击者的硬件标识符和设备构建名称，之后恶意软件接收命令。

根据Sekoia的博客文章，这是恶意软件开始从浏览器、扩展程序和应用程序收集数据并执行其文件抓取程序以将所有文件泄露到C2服务器的时候。一旦整个数据被盗，Stealc会自我擦除并从设备中删除下载的DLL文件以避免被发现。

Stealc的一些功能包括C2中心URL随机化器和高级日志分类和搜索系统。此外，该恶意软件会保护来自乌克兰的受害者，使用合法的第三方DLL，并滥用Windows API功能。它是用C语言编写的，无需攻击者的任何干预即可自动泄露数据。

该恶意软件可以针对75个插件、22个浏览器和25个桌面钱包。此外，它可以使用base64和RC4隐藏大部分字符串。

除了在暗网上做广告外，威胁行为者还通过创建有关破解软件的虚假YouTube教程在目标端点部署恶意软件。或者通过在描述中提供链接，部署信息窃取器而不是提供的破解。

研究人员发现了40多个C2服务器，这使他们得出结论，Stealc正在迅速获得关注。因此，确保您的安全软件定期更新并避免从可疑或未经授权的来源下载和安装软件至关重要。此外，切勿打开来源不明的链接或附件。