Компания Trellix опубликовала отчет о Fickle Stealer, мощном похитителе информации, распространяемом с помощью различных тактик, включая фишинг, загрузку с диска и социальную инженерию.
Fickle Stealer
Это вредоносное ПО на основе языка Rust отличается универсальностью, способно заражать системы через несколько типов файлов, таких как документы Word и исполняемые файлы, и обходить контроль учетных записей пользователей (UAC) с помощью PowerShell. После установки Fickle Stealer может выкачивать конфиденциальные данные, такие как пароли, история браузера и информация о криптовалютных кошельках, а также самоуничтожаться после выполнения, чтобы избежать обнаружения. Fickle также использует поддельную цифровую подпись, чтобы выглядеть как легитимное приложение GitHub Desktop, что делает его более обманчивым, и пользователям сложно распознать его как вредоносное.
Сложная цепочка атак крадуна включает в себя многоступенчатую обфускацию, что позволяет ему избежать обнаружения традиционными средствами защиты. Для сокрытия полезной нагрузки и обхода инструментов анализа он использует как VBA-дропперы, так и файлы с пользовательской упаковкой. Примечательно, что Fickle Stealer отправляет данные жертвы злоумышленнику через бота Telegram, раскрывая географическую и системную информацию. Поскольку вредоносная программа работает скрытно, она использует серию сценариев PowerShell для сканирования файлов, в которые можно внедрить shell-код, что обеспечивает устойчивость и повторное заражение. Такая многоуровневая техника уклонения, а также дизайн на основе Rust делают Fickle сложной угрозой для стандартных средств защиты.
Indicators of Compromise
SHA256
- 022bf939e575b38578560fbba65a4cbebc43e5fbb54983fc845dbbc81420ff7c
- 2105c78e2d975be2e83f16eaaa4120aba22e19e37ba1c8aedabd6922725b3f99
- 2357bdb0f5b32ad86c8b0b6ae44ae8e47eb17327f1aac400b971b95e8648edd0
- 4291bad1e35d8a8cdd7c9f5d1bdfdc0e9a1f1c956f9d348a3a068f2c854f54b1
- 47e4142fa6ab10a2d7dc0423d41f9bdbb3ced0f4fae5c58b673386d11dd8c973
- 4c930e2ed4f44cacfe5a5938c446f0973a31b0969d399dacbf6c2625aa72b812
- 7f5765e368b5ee21568b1d208cad821f01d8c1520ff7789529494db69d45c257
- 94ee2227696da3049ff67592834b4b6f98186f91e6d1cd1eeec44f24b9df754b
- f080d7803ce1a1b9dc72da6ddf0dd17e23eb8227c497f09aa7dfd6f3b5be3a66
