八进制窃密木马:结构化窃取 VPN 配置、密码及浏览器 Cookie 的新型威胁
网络安全研究人员在GitHub发现一款伪装成合法取证工具的新型凭证窃取程序——Octalyn Stealer(八进制窃密木马),该恶意软件专门窃取VPN配置、浏览器凭证及加密货币钱包等敏感数据。
这款于2025年7月首次被发现的恶意软件,表面宣称是教育研究工具,实则具备完整的数据窃取与渗透功能。其采用C++核心负载与Delphi构建界面的双语言架构,使不同技术水平的攻击者都能轻易使用。
该木马仅需Telegram机器人令牌和聊天ID即可生成有效载荷,大幅降低了网络犯罪的技术门槛。部署后,木马通过多重机制实现持久化运行,并将窃取数据按结构化目录分类存储,便于后续处理。
商业级数据窃取架构Cyfirma研究团队在常规威胁狩猎中发现,该木马具有以下典型特征:
在GitHub仓库维持取证工具伪装,包含教育免责声明完整集成非授权数据收集所需组件专门针对比特币、以太坊、莱特币和门罗币等加密货币钱包为每类加密货币创建独立子目录,系统化窃取钱包地址、私钥、助记词及配置文件除金融数据外,该木马还全面窃取Chrome、Edge和Opera等浏览器的密码、Cookie、自动填充数据及浏览历史记录。
木马感染流程始于Build.exe的执行,该组件作为高级投放器:
调用Windows API函数GetTempPathA定位系统临时目录按照getenv("TEMP") + "\\Octalyn"模式创建工作文件夹通过静默模式循环调用ShellExecuteA释放三个嵌入式可执行文件主载荷TelegramBuild.exe会立即创建包括"加密钱包"、"浏览器扩展"、"VPN"、"游戏"和"社交应用"在内的精细目录结构,体现其商业化设计特征。
浏览器数据窃取技术该木马采用先进的浏览器数据提取技术:
针对Chrome Cookie存储路径"\\Google\\Chrome\\User Data\\Default\\Network\\Cookies"使用Chrome本地加密密钥解密存储的Cookie对Edge和Opera浏览器执行类似操作
数据收集完成后,木马通过PowerShell命令将所有信息压缩为ZIP存档,再通过TLS加密连接传输至攻击者控制的Telegram频道api.telegram.org。
THE END
