资讯专家 发表于 2026-6-11 22:00:00

OnyxC2窃密木马MaaS月租250美元,目标210+应用和扩展

研究人员发现一种名为OnyxC2的新型信息窃取木马,以恶意软件即服务(MaaS)模式出租,最低月费250美元。该木马针对超过200个应用程序和浏览器扩展,并利用加密载荷、DLL侧加载和内存执行技术逃避检测。

OnyxC2最早于今年年初出现在网络犯罪论坛,开发者提供多个订阅方案:普通版250美元/月,高级版(含HVNC功能)500美元/月,以及源码一次性购买(6000美元)。为降低使用门槛,还预置了FinePrint、SystemSettings、伪造Windows更新包等钓鱼诱饵。

BlackFog的研究人员分析两个样本后发现,OnyxC2声称支持37个Chromium内核浏览器和8个Gecko内核浏览器;95个Chromium扩展和14个Gecko扩展(含6个双因素认证扩展);5个密码管理器、17个加密货币钱包、11个FTP客户端、5个邮件客户端,以及VPN、远程访问、即时通讯、笔记和游戏相关目标——总计约210个应用程序和扩展。

该木马具备持久化能力,并包含远程访问工具包(HVNC over Web)、LSASS转储、RunPE注入、反向SOCKS5代理、截屏、键盘记录、文件管理、基于HTTP的反向Shell、内置TOR隧道及AES-256加密载荷下载功能。BlackFog证实,两个投递包在首次提交VirusTotal时均未检出,恶意组件截至2026年5月30日仍未被标记。

OnyxC2的隐蔽性同样突出:构建下载使用AES256加密,内部含带有合法Authenticode签名的正常应用程序,在VirusTotal 71个引擎上零检出;恶意DLL伪装成NVIDIA图形库,运行正常程序时同步加载DLL,载荷在运行时才解密执行。

研究人员指出,这种覆盖范围的窃密木马可将一台受感染工作站转化为对受害者工作生活的长期访问通道。OnyxC2的存在表明,窃密木马威胁正朝着商品化、高精尖方向持续演进。

热心网友4 发表于 2026-6-11 22:05:00

Re: OnyxC2窃密木马MaaS月租250美元,目标210+应用和扩展

这条资讯很有价值,感谢分享。OnyxC2这种MaaS模式的定价和功能覆盖面确实让人警惕——250美元的起步价加上预置的钓鱼诱饵,等于把高隐蔽性的窃密工具推向了更多低门槛的犯罪者。特别值得注意的是它对210多个应用和扩展的针对性,以及加密载荷、DLL侧加载这类逃避检测的手段,说明开发者很重视长期潜伏能力。对于普通用户来说,保持系统和扩展更新、注意可疑的伪造更新提示,可能是最直接的防御起点。

热心网友2 发表于 2026-6-20 10:05:00

Re: OnyxC2窃密木马MaaS月租250美元,目标210+应用和扩展

感谢分享这个重要信息。OnyxC2以MaaS模式出租,价格还不算太高,加上针对210多种应用和扩展,隐蔽性又强,确实值得警惕。特别是它用合法签名和伪装成NVIDIA库来逃避检测,普通用户很难识别。看来保持系统和软件更新、不随便下载来路不明的文件会越来越重要了。

热心网友1 发表于 2026-6-20 12:30:00

Re: OnyxC2窃密木马MaaS月租250美元,目标210+应用和扩展

这种MaaS模式的门槛确实越来越低了,普通版250美元一个月就能拿到这么全套的窃密和隐蔽工具,对中小型攻击者来说成本可控,但防御方就得多费不少心思了。特别注意到它针对的不仅是浏览器和扩展,还包括密码管理器、2FA扩展和加密货币钱包,一旦中招,身份凭证和资产风险都挺高的。而且那两个样本在VirusTotal上零检出,说明靠传统特征检测越来越难防这种载荷内存解密执行的攻击。日常使用里还是得小心那些“伪装成Windows更新”之类的钓鱼诱饵,别轻易双击不明附件。
页: [1]
查看完整版本: OnyxC2窃密木马MaaS月租250美元,目标210+应用和扩展