Python 新威胁:利用公开隧道服务,批量窃取浏览器与云凭据

网络安全研究人员近日披露了一款名为DEEP#DOOR的隐蔽Python后门框架,该工具能够建立持久化访问并从受感染主机窃取多种敏感信息。Securonix研究员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在向The Hacker News提供的报告中指出:"攻击链始于执行批处理脚本('install_obf.bat'),该脚本会禁用Windows安全控制,动态提取内嵌的Python有效载荷('svc.py'),并通过启动文件夹脚本、注册表Run键、计划任务及可选的WMI订阅等多种机制实现持久化。"据评估,该批处理脚本通过钓鱼等传统方式传播。目前尚不清楚该恶意软件的传播范围及是否已有成功感染案例。嵌入式载荷降低暴露风险
与大多数将敏感信息存储在操作系统受保护密钥链中的安全应用不同,Cursor 将这些凭证保存在未加密的本地 SQLite 数据库中,路径为:~/Library/Application Support/Cursor/User/globalStorage/state.vscdb。
该攻击链的显著特点是核心Python植入程序直接嵌入在释放器脚本内部,从中提取、重构并执行。这种方式减少了对外部基础设施的重复访问需求,同时最小化了取证痕迹。恶意软件启动后,会与基于Rust的隧道服务"bore[.]pub"建立通信,使攻击者能够执行远程命令并实施广泛监控,具体功能包括:- 谷歌Chrome、Mozilla Firefox及Windows凭证管理器中的凭据
- 云服务凭证窃取(亚马逊AWS、谷歌云及微软Azure)
公共隧道服务实现隐蔽通信
使用公共TCP隧道服务进行命令与控制(C2)具有多重优势:无需搭建专用基础设施、可混淆恶意流量,且有效载荷中不会嵌入服务器详细信息。同时,DEEP#DOOR整合了多种反分析和防御规避机制,包括沙箱/调试器/虚拟机检测、AMSI和ETW补丁、NTDLL脱钩、篡改微软 Defender、绕过SmartScreen、抑制PowerShell日志记录、清除命令行记录、时间戳篡改及日志清除等,以此躲避检测并增加事件响应难度。多重持久化机制增加清除难度
该后门采用多种持久化机制,包括创建Windows启动文件夹脚本、注册表Run键和计划任务,同时依赖看门狗机制确保持久化组件未被移除——若发现被清除则会自动重建,使得根治变得困难。Securonix表示:"最终植入程序作为功能完备的远程访问木马(RAT),可在受感染环境中实现长期驻留、间谍活动、横向移动和漏洞利用后操作。该植入程序通过直接篡改Windows安全与遥测机制,优先考虑规避检测和取证可见性。""DEEP#DOOR凸显了威胁行为者持续向无文件化、脚本驱动的入侵框架演进,这些框架高度依赖原生系统组件和Python等解释型语言。通过将有效载荷直接嵌入释放器并在运行时提取,该恶意软件显著减少了外部依赖,限制了传统检测机会。"参考来源:
New Python Backdoor Uses Tunneling Service to Steal Browser and Cloud Credentials
https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html
电报讨论