Ένα νέο κακόβουλο λογισμικό (malware) κλοπής πληροφοριών βασισμένο στη γλώσσα προγραμματισμού Rust, γνωστό ως Fickle Stealer, έχει εντοπιστεί να διανέμεται μέσω πολλαπλών chain επίθεσης, με στόχο τη συλλογή ευαίσθητων δεδομένων από παραβιασμένους υπολογιστές.
Η Fortinet FortiGuard Labs ανέφερε ότι υπάρχουν τέσσερις διαφορετικές μέθοδοι διανομής: VBA dropper, VBA downloader, link downloader και εκτελέσιμο downloader. Ορισμένες από αυτές χρησιμοποιούν ένα σενάριο PowerShell για να παρακάμψουν τον Έλεγχο Λογαριασμού Χρήστη (UAC) και να εκτελέσουν το Fickle Stealer.
Διαβάστε σχετικά: Το Evasive SquidLoader Malware στοχεύει κινέζικους οργανισμούς
Το σενάριο PowerShell (“bypass.ps1” ή “u.ps1”) είναι σχεδιασμένο να αποστέλλει περιοδικά πληροφορίες σχετικά με το θύμα, όπως χώρα, πόλη, διεύθυνση IP, έκδοση λειτουργικού συστήματος, όνομα υπολογιστή και όνομα χρήστη, σε ένα bot Telegram που ελέγχεται από τον χάκερ.
Το ωφέλιμο φορτίο του κλέφτη, εκτελεί μια σειρά ελέγχων anti-analysis για να διαπιστώσει εάν λειτουργεί σε περιβάλλον sandbox ή εικονικής μηχανής. Εάν όλα είναι φυσιολογικά, μεταδίδει δεδομένα σε έναν απομακρυσμένο server με τη μορφή συμβολοσειρών JSON.
Το Fickle Stealer μοιάζει με άλλες παραλλαγές, καθώς έχει σχεδιαστεί για να συλλέγει πληροφορίες από κρυπτογραφικά πορτοφόλια, προγράμματα browser που βασίζονται στο Chromium και την μηχανή του browser Gecko (όπως Google Chrome, Microsoft Edge, Brave, Vivaldi και Mozilla Firefox), καθώς και από εφαρμογές όπως AnyDesk, Discord, FileZilla, Signal, Skype, Steam και Telegram.
Δείτε περισότερα: Διανομή του SSLoad malware μέσω του PhantomLoader loader
Επιπλέον, είναι σχεδιασμένο να εξάγει αρχεία με επεκτάσεις .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp και wallet.dat.
“Εκτός από ορισμένες δημοφιλείς εφαρμογές, αυτός το Fickle Stealer malware αναζητά ευαίσθητα αρχεία στους γονικούς καταλόγους κοινών καταλόγων εγκατάστασης για να διασφαλίσει ολοκληρωμένη συλλογή δεδομένων,” δήλωσε ο ερευνητής ασφάλειας Pei Han Liao. “Λαμβάνει επίσης μια λίστα στόχων από τον server, γεγονός που καθιστά τον Fickle Stealer πιο ευέλικτο.”
Η Symantec δημοσιοποίησε λεπτομέρειες για ένα Python ανοιχτού κώδικα, ονόματι AZStealer, το οποίο διαθέτει τη δυνατότητα να κλέβει πληθώρα πληροφοριών. Διαθέσιμο στο GitHub, το εργαλείο αυτό έχει διαφημιστεί ως ο “καλύτερος μη ανιχνεύσιμος κλέφτης Discord.”
“Όλες οι κλεμμένες πληροφορίες συμπιέζονται σε ένα αρχείο και, ανάλογα με το μέγεθος (του αρχείου), είτε αποστέλλονται απευθείας μέσω των webhooks του Discord είτε πρώτα ανεβαίνουν στην ηλεκτρονική αποθήκευση Gofile και κατόπιν επεξεργάζονται μέσω του Discord,” δήλωσε η εταιρεία που ανήκει στην Broadcom.
Δείτε ακόμη: Απάτη της Markopolo στοχεύει χρήστες ψηφιακών νομισμάτων (crypto)
“Το AZStealer θα επιχειρήσει επίσης να κλέψει έγγραφα με συγκεκριμένες επεκτάσεις ή αρχεία που περιέχουν λέξεις-κλειδιά όπως κωδικός πρόσβασης, πορτοφόλι, αντίγραφο ασφαλείας κ.λπ., στον τίτλο τους.”
Πηγή: thehackernews
 κλοπής πληροφοριών βασισμένο στη γλώσσα προγραμματισμού Rust, γνωστό ως Fickle Stealer, έχει εντοπιστεί να διανέμεται μέσω πολλαπλών chain επίθεσης, με στόχο τη συλλογή ευαίσθητων δεδομένων από παραβιασμένους υπολογιστές.){kind=link}