Um novo malware de furto de informações, baseado em Rust chamado Fickle Stealer, foi observado sendo distribuído por meio de múltiplas cadeias de ataque com o objetivo de coletar informações sensíveis dos hosts comprometidos.
O Fortinet FortiGuard Labs informou que está ciente de quatro diferentes métodos de distribuição - especificamente VBA dropper, VBA downloader, link downloader e executable downloader - alguns dos quais utilizam um script PowerShell para contornar o Controle de Conta de Usuário (UAC) e executar o Fickle Stealer.
O script PowerShell ("bypass.ps1" ou "u.ps1") também é projetado para enviar periodicamente informações sobre a vítima, incluindo país, cidade, endereço IP, versão do sistema operacional, nome do computador e nome de usuário para um bot do Telegram controlado pelo atacante.
O payload do stealer, que é protegido usando um packer, executa uma série de verificações anti-análise para determinar se está sendo executado em um ambiente de sandbox ou uma máquina virtual, após o qual ele se comunica com um servidor remoto para exfiltrar dados no formato de strings JSON.
O Fickle Stealer não difere de outras variantes no que diz respeito a ser projetado para coletar informações de carteiras de criptomoedas, navegadores baseados em Chromium e no motor de navegador Gecko (ou seja, Google Chrome, Microsoft Edge, Brave, Vivaldi e Mozilla Firefox), e aplicativos como AnyDesk, Discord, FileZilla, Signal, Skype, Steam e Telegram.
Ele também é projetado para exportar arquivos que correspondam às extensões .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp e wallet.dat.
"Além de algumas aplicações populares, este stealer busca arquivos sensíveis em diretórios pais de diretórios de instalação comuns para garantir uma coleta de dados abrangente", disse o pesquisador de segurança Pei Han Liao.
Ele também recebe uma lista de alvos do servidor, o que torna o Fickle Stealer mais flexível. A divulgação ocorre enquanto a Symantec detalhava informações de um stealer Python de código aberto chamado AZStealer que vem com a funcionalidade de roubar uma grande variedade de informações.
Disponível no GitHub, ele foi anunciado como o "melhor Discord stealer não detectado."
"Todas as informações roubadas são compactadas e, dependendo do tamanho do arquivo, exfiltradas diretamente por meio de webhooks do Discord ou primeiro enviadas para o armazenamento de arquivos online Gofile e depois exfiltradas via Discord", disse a empresa pertencente à Broadcom.
O AZStealer também tentará o roubo de arquivos de documentos com extensões específicas direcionadas ou aqueles que tenham palavras-chave específicas como senha, carteira, backup, etc., no nome do arquivo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...