上期有同学在评论区提到在网页版steam提取cookie实现盗号（不懂cookie的同学就把它当作和你密码同等作用的令牌），现在纯网页因为浏览器的同源策略限制，无法使用嵌套页面等方式偷cookie和密码。所以目前盗取浏览器密码的都是以可执行程序如exe形式存在。

老规矩，先上演示图（谷歌浏览器为142.0.7444.60）

熟悉图片木马欺骗的同学先别喷，这是一种低劣的手段，但作为科普我还是希望更多人知道。

首先这不是一个图片，这是一个图标跟系统图标很像的可执行程序exe（木马）

win11系统默认是隐藏文件扩展名的

这个木马名称显示为“brohackexe..png”是因为名称里我加了unicode控制符进行反转。

控制符怎么加呢，打开电脑自带的记事本就可以加

控制符的设计初衷是兼容多语言的阅读书写习惯，但是因为很多人包括新手程序员都没做过国际化项目（尤其是阿拉伯市场），会认为纯文本只是按序显示没有任何可挖掘的地方，其实控制符就是其中一个雷区。之前闹得沸沸扬扬的“同一条微信消息在不同手机看到的不一样”也是一个原理

双击打开这个伪装成图片的木马时，木马会做三件事

1、隐藏窗口，让程序不会出现在任务栏上避免暴露（隐藏窗口是合法行为）

2、释放一张图片到临时目录，并委托资源管理器用默认方式打开图片（此举在于迷惑用户以为真的只是图片）

3、释放HackBrowserData在后台进行盗号，盗号完毕把zip上传服务器（HackBrowserData是命令行执行的，完全后台，不可感知）

整个木马的核心就是HackBrowserData，HackBrowserData是由巨佬们开发的窃取浏览器cookie/密码神器（开源，链接在文末）。

尽管chrome在先后多次修改加密算法，但均被巨佬们攻破。

感兴趣可看这里的分析：chrome v127的cookie解密分析

https://0or1zo.github.io/2024/11/09/ChromeCookies之v20解密/index.html

HackBrowserData的原理大致如下：

1 运行HackBrowserData，传入参数
2 自动定位浏览器配置文件路径
3 读取数据文件（比如登录信息login data, cookies）
4 根据操作系统和浏览器类型，获取解密密钥（DPAPI、keychain、NSS 等，其中解密也会涉及到上期我们讲的内存窃取令牌方法）
5 解密加密字段（密码和 Cookie）
6 将结果输出为文件
7 打包为 ZIP

而且HackBrowserData通杀了市面所有的主流浏览器，在演示图中你也看到了，此工具完全不需要提权。

看到这有同学开始担心，既然这么强，那这怎么防的住？主流的安全软件都能扑杀HackBrowserData，目前不用怎么担心。

单纯HackBrowserData构不成威胁，但是如果木马作者找到了强行结束杀毒软件的方法或者系统、软件漏洞，那有了HackBrowserData加持的木马会是大杀器。

省流总结

1、你通过某个渠道比如小红车下载了一个伪装成图片格式的木马（知道了控制符你想伪装什么文件类型都随意，视频什么的都行）

2、打开图片时会看到一个正常图片，此时木马在后台进行盗号，打包上传服务器，整个过程几秒就能完成

附录

HackBrowserData
https://github.com/moonD4rk/HackBrowserData