Site icon Kiber.ba

Novi zlonamjerni softver Fickle baziran na Rust-u koristi PowerShell za obilazak UAC-a i eksfiltraciju podataka

Damjan
Novi zlonamjerni softver Fickle baziran na Rust-u koristi PowerShell za obilazak UAC-a i eksfiltraciju podataka-Kiber.ba

Novi zlonamjerni softver Fickle baziran na Rust-u koristi PowerShell za obilazak UAC-a i eksfiltraciju podataka-Kiber.ba

Uočeno je da se novi malver za krađu informacija baziran na Rustu pod nazivom Fickle Stealer isporučuje putem višestrukih lanaca napada s ciljem prikupljanja osjetljivih informacija od kompromitiranih hostova.

Fortinet FortiGuard Labs je rekao da je svjestan četiri različite metode distribucije – naime VBA dropper, VBA downloader, link downloader i izvršni downloader – pri čemu neki od njih koriste PowerShell skriptu da zaobiđu kontrolu korisničkog računa (UAC) i izvrše Fickle Stealer.

PowerShell skripta (“bypass.ps1” ili “u.ps1”) je takođe dizajnirana da povremeno šalje informacije o žrtvi, uključujući državu, grad, IP adresu, verziju operativnog sistema, ime računara i korisničko ime Telegram botu koji kontroliše napadača.

Korisno opterećenje za krađu, koje je zaštićeno pomoću pakera, pokreće seriju provjera anti-analize kako bi se utvrdilo da li radi u okruženju sa sandboxom ili virtuelnom mašinom, nakon čega se šalje na udaljeni server da eksfiltrira podatke u obliku JSON-a. žice.

Fickle Stealer se ne razlikuje od ostalih varijanti po tome što je dizajniran za prikupljanje informacija iz kripto novčanika, web pretraživača koji pokreće Chromium i Gecko pretraživač (tj. Google Chrome, Microsoft Edge, Brave, Vivaldi i Mozilla Firefox), i aplikacija poput AnyDesk, Discord, FileZilla, Signal, Skype, Steam i Telegram.

Takođe je dizajniran za izvoz datoteka koje odgovaraju ekstenzijama .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp i wallet.dat.

“Pored nekih popularnih aplikacija, ovaj kradljivac pretražuje osjetljive datoteke u nadređenim direktorijima uobičajenih instalacionih direktorija kako bi osigurao sveobuhvatno prikupljanje podataka”, rekao je istraživač sigurnosti Pei Han Liao. “Takođe prima ciljnu listu sa servera, što Fickle Stealer čini fleksibilnijim.”

Otkrivanje dolazi nakon što je Symantec otkrio detalje otvorenog koda za krađu Pythona pod nazivom AZStealer koji dolazi s funkcionalnošću za krađu širokog spektra informacija. Dostupan na GitHubu, oglašen je kao “najbolji neotkriveni Discord kradljivac”.

“AZStealer će takođe pokušati krađu datoteka dokumenata sa unaprijed definiranim ciljanim ekstenzijama ili onima koje u nazivu datoteke imaju specifične ključne riječi kao što su lozinka, novčanik, sigurnosna kopija, itd.”

Izvor:The Hacker News

Exit mobile version