?警惕新型".NET大盗"病毒！PupkinStealer借Telegram窃取敏感信息

PupkinStealer是一种基于.NET框架的新型信息窃取病毒，通过Telegram平台传播，专门盗取浏览器密码、桌面文件、社交软件会话密钥等核心隐私数据，具有精准打击、技术隐蔽、传播便捷等特点，可能已在地下论坛以“恶意软件即服务”模式流通，未来或出现更多变种。病毒传播与基本特征传播平台：通过Telegram平台快速传播，利用其匿名机器人API接口和端到端加密特性作为数据传输渠道，将窃取数据通过名为“botkanalchik_bot”的机器人账号发送。开发框架：基于.NET框架开发，是一款6.21MB大小的32位Windows程序，采用C#语言开发且未使用传统加壳技术，但通过Costura库嵌入压缩DLL文件，增加检测难度。出现时间：自2025年4月首次现身后，已展现出极强的破坏力。病毒攻击特点精准打击：不像普通恶意软件广撒网式攻击，而是针对性收集高价值信息。窃取内容多样从Chromium内核浏览器（如Chrome、Edge）中解密存储的账号密码。窃取Telegram的tdata会话文件夹实现免密登录。盗取Discord身份令牌实施账号伪装。自动拍摄1080P高清屏幕截图。文件窃取模块专门扫描桌面上的PDF、TXT、图片等常用格式文档。病毒技术分析运行机制：运行时首先初始化.NET环境，通过异步任务模块执行多线程数据窃取，每个功能模块都经过精心设计。密码破解：从浏览器的Local State文件中提取解密密钥，利用Windows数据保护API对SQLite数据库中的密码进行AES - GCM解密。即时通讯软件渗透：直接复制Telegram的会话文件夹，使用正则表达式提取Discord的leveldb数据库令牌。数据打包与传输：所有窃取数据最终被打包成加密压缩文件，压缩包内嵌含用户名称、公网IP、Windows安全标识符等元数据，构建起完整的受害者数字画像。幕后黑手推测安全专家在代码中发现了“由Ardent编写”的开发者签名，结合Telegram元数据中的俄语痕迹，推测幕后黑手可能来自俄语黑客组织。病毒传播方式这种轻量化设计的恶意软件极易通过软件供应链攻击或钓鱼邮件传播，普通用户点击伪装成破解工具、游戏外挂的可执行文件后即会中招。防御措施建议企业安全团队加强员工安全意识培训，警惕来路不明的文件。强制启用多因素认证，尤其在Telegram、Discord等通讯工具上。部署流量监测系统，特别关注向Telegram API的异常外联请求。个人用户及时更新杀毒软件。避免在浏览器保存敏感密码。重要文件建议使用加密存储。未来趋势随着黑产技术的平民化趋势，这类“小而精”的信息窃取病毒正成为网络犯罪的主流工具。PupkinStealer可能已在地下论坛以“恶意软件即服务”模式流通，其模块化设计允许攻击者快速定制攻击目标，预计未来会出现更多变种。