网络安全领域出现了一种复杂的基于 Python 的新型信息窃取程序，展示了通过 Discord 渠道泄露数据的先进功能。

该恶意软件被称为“Inf0s3c Stealer”，代表了数据盗窃工具领域的重大演变，将传统系统侦察技术与现代通信平台相结合，以避免检测，同时有效地从受感染的 Windows 系统中收集敏感信息。

该恶意软件作为一个综合抓取器运行，旨在系统地从受感染的计算机收集主机标识符、CPU 信息、网络配置和用户数据。

执行后，它会通过命令提示符静默调用多个 PowerShell 命令来收集大量系统详细信息，从而创建受害者环境的详细配置文件。

该窃取者针对广泛的敏感信息，包括 Discord 帐户、浏览器凭据、cookie、浏览历史记录、加密货币钱包、Wi-Fi 密码以及来自 Steam、Epic Games 和 Minecraft 等流行服务的游戏平台会话。

Cyfirma 研究人员发现，该恶意软件展示了复杂的打包和混淆技术，利用 UPX 压缩和 PyInstaller 捆绑来逃避检测。

6.8MB 的可执行文件保持 8.000 的高熵值，表明打包量很大，从静态分析工具中掩盖了其真正的功能。

在执行过程中，恶意软件会在 Windows %temp% 文件夹中创建临时目录，系统地将被盗数据组织到分类子目录中，例如“凭据”、“目录”和“系统”，然后再编译成受密码保护的存档。

窃取者的主要创新在于其通过 Discord 渠道的自动泄露机制，将收集到的数据作为标记为“Blank Grabber”的压缩 RAR 档案传输。

这种方法利用合法的通信基础设施将恶意流量与正常用户活动混合在一起，从而显着降低网络监控系统检测到的可能性。

高级持久性和规避机制

Inf0s3c Stealer 采用复杂的持久性策略来确保长期系统受到损害。

该恶意软件将自身复制到 Windows 启动文件夹中，以 .scr 扩展名伪装成屏幕保护程序文件。

此技术是通过面向系统范围启动目录的函数实现的：-PutInStartup()

def PutInStartup() -> str:
    STARTUPDIR = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp"
    file, isExecutable = Utility.GetS```()
    if isExecutable:
        out = os.path.join(STARTUPDIR, "{}.scr".format(Utility.GetRandomString(invisible=True)))
        os.makedirs(STARTUPDIR, exist_ok=True)
        try: shutil.copy(file, out)
        except Exception: return None
        return out

该恶意软件包含多种反分析功能，包括反 VM 检查和阻止防病毒相关网站的能力。

它可以通过“熔化”功能在执行后进行自我删除，留下最少的取证痕迹。

此外，该窃取程序还包括一个“泵存根”功能，旨在人为地扩大文件大小，从而可能绕过安全解决方案采用的基于大小的检测启发式方法。