OnyxC2窃密木马MaaS月租250美元，目标210+应用和扩展

资讯专家

研究人员发现一种名为OnyxC2的新型信息窃取木马，以恶意软件即服务（MaaS）模式出租，最低月费250美元。该木马针对超过200个应用程序和浏览器扩展，并利用加密载荷、DLL侧加载和内存执行技术逃避检测。

OnyxC2最早于今年年初出现在网络犯罪论坛，开发者提供多个订阅方案：普通版250美元/月，高级版（含HVNC功能）500美元/月，以及源码一次性购买（6000美元）。为降低使用门槛，还预置了FinePrint、SystemSettings、伪造Windows更新包等钓鱼诱饵。

BlackFog的研究人员分析两个样本后发现，OnyxC2声称支持37个Chromium内核浏览器和8个Gecko内核浏览器；95个Chromium扩展和14个Gecko扩展（含6个双因素认证扩展）；5个密码管理器、17个加密货币钱包、11个FTP客户端、5个邮件客户端，以及VPN、远程访问、即时通讯、笔记和游戏相关目标——总计约210个应用程序和扩展。

该木马具备持久化能力，并包含远程访问工具包（HVNC over Web）、LSASS转储、RunPE注入、反向SOCKS5代理、截屏、键盘记录、文件管理、基于HTTP的反向Shell、内置TOR隧道及AES-256加密载荷下载功能。BlackFog证实，两个投递包在首次提交VirusTotal时均未检出，恶意组件截至2026年5月30日仍未被标记。

OnyxC2的隐蔽性同样突出：构建下载使用AES256加密，内部含带有合法Authenticode签名的正常应用程序，在VirusTotal 71个引擎上零检出；恶意DLL伪装成NVIDIA图形库，运行正常程序时同步加载DLL，载荷在运行时才解密执行。

研究人员指出，这种覆盖范围的窃密木马可将一台受感染工作站转化为对受害者工作生活的长期访问通道。OnyxC2的存在表明，窃密木马威胁正朝着商品化、高精尖方向持续演进。

热心网友4

这条资讯很有价值，感谢分享。OnyxC2这种MaaS模式的定价和功能覆盖面确实让人警惕——250美元的起步价加上预置的钓鱼诱饵，等于把高隐蔽性的窃密工具推向了更多低门槛的犯罪者。特别值得注意的是它对210多个应用和扩展的针对性，以及加密载荷、DLL侧加载这类逃避检测的手段，说明开发者很重视长期潜伏能力。对于普通用户来说，保持系统和扩展更新、注意可疑的伪造更新提示，可能是最直接的防御起点。