样本分析

该样本是一个信息窃取恶意软件，这类恶意软件因能够窃取关键数据（如系统详细信息、自动填充数据、信用卡信息、Cookies、浏览历史、用户名和密码以及加密货币钱包数据）而存在重大风险。

样本为 32 位文件，采用 Delphi 编程语言编写。

虽然在 DIE 工具中显示样本为 Delphi 编程语言开发，但进一步分析显示，其核心功能使用 PHP 编写，并通过 ExeOutput for PHP 软件封装。ExeOutput for PHP 可将 PHP 脚本编译为 Windows 可执行文件，这使得恶意软件能够伪装成合法的本地程序运行，同时具备动态加载能力。

恶意软件被观察到会通过大量注册表操作来提取系统信息。通过分析确认，恶意软件通过注册表获取计算机名称、用户名、操作系统及其版本、Windows 语言以及 Windows 产品密钥等信息。不过，没有发现任何持久化操作的证据。

动态分析显示，Ailurophile Stealer 会在磁盘上的特定位置创建一个目录，用于临时存储从受害者系统窃取的数据。
涉及函数：

• SetCurrentDirectory 用于将当前工作目录更改为指定路径。
• CheckFileAccessibility 并不是一个标准的 Windows API 函数，但这个名字通常用于描述检查文件访问权限或文件是否存在的逻辑。
• ProcessInputData 自定义的函数，用于处理数据。
• DeleteFileOrDirectory删除文件或目录。

根据分析，存储数据的临时目录位于 %HOME%\AppData\Local\Ailurophile。该文件夹会在数据被上传到 C2 服务器后被删除，以避免用户察觉到恶意活动的存在。

在将被盗数据传输到远程 C2 服务器后，恶意软件会自动删除 %HOME%\AppData\Local\Ailurophile 文件夹及其内容，从而彻底清除作案痕迹。

运行期间，恶意软件会搜索特定的窗口并尝试将其关闭。动态分析表明，它主要针对浏览器窗口执行此操作。例如，它通过以下命令强制关闭 Microsoft Edge：

cmd.exe /s /c "taskkill /IM msedge.exe /F"

恶意软件通过以下命令列出系统中正在运行的所有进程：

cmd.exe /s /c "tasklist"

恶意软件首先从磁盘中读取浏览器数据，然后执行以下 PowerShell 命令以解密用户浏览器中的加密数据：

cmd.exe /s /c "powershell.exe -Command "Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process; Add-Type -AssemblyName System.Security; $decryptedKey = [System.Security.Cryptography.ProtectedData]::Unprotect([byte[]]@(1,0,0,0,208,...), $null, [System.Security.Cryptography.DataProtectionScope]::CurrentUser); $decryptedKeyString = [System.BitConverter]::ToString($decryptedKey) -replace '-', ''; Write-Output $decryptedKeyString""

上述命令通过当前用户的身份验证生成解密密钥，用于提取浏览器数据。这种方式是许多窃取恶意软件的常见技术。

恶意软件会使用 Kernel32 API 的 ConnectNamedPipe 函数实现进程间通信。运行期间，伪装成合法程序的窃取者会创建一个子进程，并通过该子进程执行所有恶意活动。在分析中检测到使用了进程空洞技术（Process Hollowing），以规避杀毒软件的检测。

通过汇编代码分析，恶意软件调用了以下函数来检测调试器、虚拟机和沙箱环境：

• RtlQueryPerformanceCounter
• QueryPerformanceCounter
• GetTickCount
• GetSystemTime
• IsDebuggerPresent

通过分析发现，样本中使用了多种异或（XOR）操作。其中一些用于解密数据库，另一些则用于代码混淆，以提高逆向工程难度并绕过杀毒软件的检测。

通过调用 AdjustTokenPrivileges 函数，恶意软件尝试提升自身权限。这种技术常用于权限提升攻击，以获取更高的系统访问权限，执行更具破坏性的操作。