El nuevo malware Fickle basado en Rust utiliza PowerShell para evitar UAC y filtrar datos.


20 de junio de 2024Sala de redacción Inteligencia sobre amenazas/Cibercrimen

Se ha observado que un nuevo malware de robo de información basado en Rust llamado Fickle Stealer se distribuye a través de múltiples cadenas de ataque con el objetivo de recopilar información confidencial de hosts comprometidos.

Fortinet FortiGuard Labs conoce cuatro métodos de distribución diferentes: cuentagotas VBA, descargador VBA, descargador de enlaces y descargador ejecutable, algunos de los cuales utilizan scripts de PowerShell para evitar el Control de cuentas de usuario (UAC) y dice ejecutar Stealer.

El script de PowerShell (“bypass.ps1” o “u.ps1”) proporciona información sobre la víctima, incluido el país, la ciudad, la dirección IP, la versión del sistema operativo, el nombre de la computadora y el nombre de usuario, a un bot de Telegram controlado por el atacante. ser enviado periódicamente.

Una carga útil de ladrón protegida mediante un empaquetador realiza una serie de comprobaciones de evasión para determinar si se está ejecutando en un entorno de pruebas o de máquina virtual. Luego envía una baliza a un servidor remoto para filtrar datos en forma de cadena JSON.

Fickle Stealer admite billeteras de criptomonedas, navegadores web con motores de navegador Chromium y Gecko (Google Chrome, Microsoft Edge, Brave, Vivaldi, Mozilla Firefox, etc.), aplicaciones como AnyDesk, Discord, FileZilla, Signal, Skype, Steam, Telegram, etc. No se diferencia de otras variantes en que está diseñado para recopilar información de los usuarios.

También está diseñado para exportar archivos que coincidan con las extensiones .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp, wallet.dat.

“Este ladrón busca archivos confidenciales en directorios principales de directorios de instalación comunes, además de varias aplicaciones comunes, asegurando una recopilación completa de datos”, dice el investigador de seguridad Pei Han Liao. “Fickle Stealer también recibe la lista de objetivos del servidor, lo que lo hace más flexible”.

Esta divulgación se produce después de que Symantec publicara detalles de un ladrón de Python de código abierto llamado AZStealer que tiene la capacidad de robar una variedad de información. El ladrón, disponible en GitHub, es promocionado como el “ladrón de Discord más indetectable”.

“Toda la información robada se comprime y, dependiendo del tamaño del archivo, se filtra directamente a través de un webhook de Discord o se carga primero en el almacenamiento de archivos en línea Gofile y luego se filtra a través de Discord”, dijo la compañía, que es propiedad de Broadcom.

“AZStealer también intenta robar archivos de documentos con extensiones de destino predefinidas o con palabras clave específicas en el nombre del archivo, como contraseña, billetera o copia de seguridad”.

¿Te pareció interesante este artículo?sígueme Gorjeo  Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/06/new-rust-based-fickle-malware-uses.html