本文来自 cybersecuritynews.com/new-rust-ba…
原文作者:Tushar Subhra Dutta
发布时间:2025 年 6 月 7 日
什么情况?
最近安全研究员们发现了一个新的信息窃取恶意软件,名字叫 Myth Stealer(翻译过来就是“神话窃贼”)。
它是用 Rust 写的——Rust 是那种“快得飞起又超难逆向分析”的现代编程语言,所以这玩意儿一出现,立刻引起了不少人的警觉。
这款木马的目标很明确:专门偷你电脑里的敏感信息,像是浏览器保存的密码、信用卡信息、聊天软件的登录凭证等等。
它是怎么传播的?
从 2024 年底开始,黑客就在网上各种假冒游戏网站和 Telegram 群里悄悄传播这个木马了。
他们会用一些让人“上头”的关键词吸引你,比如:
- “XX 游戏破解版”
- “作弊工具”
- “最新测试版”
- “送皮肤/外挂/点券”
看上去像是福利,其实你点开后下载的是一个压缩包,里面藏着恶意程序。他们甚至还故意给压缩包加密码(比如游戏名+beta),让你觉得“肯定是真的”,结果一运行电脑就中招了。
竟然还有会员制!
更绝的是,这个木马居然是按月订阅的。
黑客在 Telegram 上搞了好几个频道,把它当 SaaS(软件即服务)来卖:
- 想试用?有免费版本。
- 想解锁全功能?可以包周、包月,甚至还支持加密货币付款。
他们还在群里晒用户评价截图、发更新日志,简直就像在运营正规软件产品一样。
它到底能干啥?
它不是那种“简单粗暴”的病毒,它干活很“聪明”也很“专业”。来看它的几项技能:
1. 偷的目标超多
不止是浏览器(Chrome、Edge、Firefox、Brave、Opera),连:
- Discord
- 某些聊天工具
- 特定的“加密钱包”浏览器扩展
都在它的下手范围内。
2. 伪装得特别像真软件
你一运行压缩包里的程序,它会弹出个看起来超正常的窗口(比如“XX 游戏正在加载”),其实后台它已经在干坏事了。
这些“假界面”是用 Rust 的界面库做的,看起来一点也不像病毒。
它是怎么干活的?
第一步:先骗你运行
你点开那个“游戏/外挂/工具”,它会:
- 弹个假窗口糊弄你
- 同时在后台偷偷运行一个真正的 DLL 程序(主力干活的木马核心)
第二步:避开杀毒软件
它有一堆“反分析”技巧,比如:
- 检查你是不是在沙箱/虚拟机里运行
- 检查你用户名是不是“test”、“sandbox”这类“诱饵”
- 检测到异常就立马自毁,啥也不干
这让它特别难被分析和查杀。
第三步:远程调试偷数据
它不会傻傻地去扒浏览器数据库文件,而是用“远程调试端口”的方式来偷数据。
比如它会用类似这样的命令启动 Chrome:
chrome.exe --remote-debugging-port=9222 --headless
然后直接用调试接口读取你的密码、历史记录、cookie,干净利落,几乎不会触发杀毒软件警报。
新版本甚至会用管理员权限运行,绕过操作系统限制,偷得更彻底。
它还会自我复活
它会往你电脑里写一个叫 winlnk.exe 的文件,然后偷偷修改注册表,把 .lnkk 这种“假扩展名”绑定到它自己。
这样你一重启电脑,它又自动运行了。杀都杀不掉。
简单总结
- 这是一个专业到离谱的信息窃取工具,用的是 Rust 写的,速度快、难分析。
- 它有完整的运营体系:订阅制、Telegram 分发、假冒游戏软件、专用用户界面,活脱脱就是个“黑产 SaaS”。
- 你以为你在玩游戏,其实你电脑在被偷数据。
怎么防?
几个建议,尤其对你平时喜欢下游戏、用工具的朋友:
- 别乱下压缩包!尤其那种带密码的“破解游戏”或“测试版”。
- 安装行为型杀毒软件,不是那种“只看文件名”的,要能监控行为(比如远程调试端口、注册表修改、提权尝试等)。
- 定期检查启动项和注册表,有没有奇怪的
.exe文件偷偷跑起来。 - 不要轻信 Telegram 或论坛的“零报毒”截图,那玩意儿可以造假。
- 如果你发现某个程序要你输入管理员权限运行,还总弹“游戏加载中”,就要多留个心眼了。
