Novos malwares predadores
20 de Junho de 2024

Um novo malware de furto de informações, baseado em Rust chamado Fickle Stealer, foi observado sendo distribuído por meio de múltiplas cadeias de ataque com o objetivo de coletar informações sensíveis dos hosts comprometidos.

O Fortinet FortiGuard Labs informou que está ciente de quatro diferentes métodos de distribuição - especificamente VBA dropper, VBA downloader, link downloader e executable downloader - alguns dos quais utilizam um script PowerShell para contornar o Controle de Conta de Usuário (UAC) e executar o Fickle Stealer.

O script PowerShell ("bypass.ps1" ou "u.ps1") também é projetado para enviar periodicamente informações sobre a vítima, incluindo país, cidade, endereço IP, versão do sistema operacional, nome do computador e nome de usuário para um bot do Telegram controlado pelo atacante.

O payload do stealer, que é protegido usando um packer, executa uma série de verificações anti-análise para determinar se está sendo executado em um ambiente de sandbox ou uma máquina virtual, após o qual ele se comunica com um servidor remoto para exfiltrar dados no formato de strings JSON.

O Fickle Stealer não difere de outras variantes no que diz respeito a ser projetado para coletar informações de carteiras de criptomoedas, navegadores baseados em Chromium e no motor de navegador Gecko (ou seja, Google Chrome, Microsoft Edge, Brave, Vivaldi e Mozilla Firefox), e aplicativos como AnyDesk, Discord, FileZilla, Signal, Skype, Steam e Telegram.

Ele também é projetado para exportar arquivos que correspondam às extensões .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp e wallet.dat.

"Além de algumas aplicações populares, este stealer busca arquivos sensíveis em diretórios pais de diretórios de instalação comuns para garantir uma coleta de dados abrangente", disse o pesquisador de segurança Pei Han Liao.

Ele também recebe uma lista de alvos do servidor, o que torna o Fickle Stealer mais flexível. A divulgação ocorre enquanto a Symantec detalhava informações de um stealer Python de código aberto chamado AZStealer que vem com a funcionalidade de roubar uma grande variedade de informações.

Disponível no GitHub, ele foi anunciado como o "melhor Discord stealer não detectado."

"Todas as informações roubadas são compactadas e, dependendo do tamanho do arquivo, exfiltradas diretamente por meio de webhooks do Discord ou primeiro enviadas para o armazenamento de arquivos online Gofile e depois exfiltradas via Discord", disse a empresa pertencente à Broadcom.

O AZStealer também tentará o roubo de arquivos de documentos com extensões específicas direcionadas ou aqueles que tenham palavras-chave específicas como senha, carteira, backup, etc., no nome do arquivo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...