Novo malware inconstante baseado em Rust usa PowerShell para ignorar UAC e exfiltração de dados
![malware](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbxNSlLcUEbUuoCTiYAIV2cTSmy-vb1hDjuLpZ4BZivUofvKJu-OLfoF1RgkJ6VZf5iws7uwRZEnmNoc8C5qKSqzaR8nIVNS8-Cc2F-zlgF1yovK300p90auqFBv14IUBe6V0oEebBU5Q7MjePKXKVKxcdJl80XqXLwbpD9vk9ujMiuBK-I88agL7MgqI5/s728-rw-e365/malware.png?w=780&resize=780,470&ssl=1)
![Malware baseado em ferrugem Malware baseado em ferrugem](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbxNSlLcUEbUuoCTiYAIV2cTSmy-vb1hDjuLpZ4BZivUofvKJu-OLfoF1RgkJ6VZf5iws7uwRZEnmNoc8C5qKSqzaR8nIVNS8-Cc2F-zlgF1yovK300p90auqFBv14IUBe6V0oEebBU5Q7MjePKXKVKxcdJl80XqXLwbpD9vk9ujMiuBK-I88agL7MgqI5/s728-rw-e365/malware.png)
Um novo malware ladrão de informações baseado em Rust chamado Ladrão inconstante foi observado sendo entregue por meio de múltiplas cadeias de ataque com o objetivo de coletar informações confidenciais de hosts comprometidos.
O Fortinet FortiGuard Labs disse estar ciente de quatro métodos de distribuição diferentes – nomeadamente VBA dropper, VBA downloader, hyperlink downloader e executável downloader – com alguns deles usando um script PowerShell para ignorar o Consumer Account Management (UAC) e executar o Fickle Stealer.
O script PowerShell (“bypass.ps1” ou “u.ps1”) também foi projetado para enviar periodicamente informações sobre a vítima, incluindo país, cidade, endereço IP, versão do sistema operacional, nome do computador e nome de usuário para um bot do Telegram controlado por o atacante.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
A carga útil do ladrão, que é protegida por um empacotador, executa uma série de verificações anti-análise para determinar se está sendo executada em uma sandbox ou em um ambiente de máquina digital, após o que ele se direciona a um servidor remoto para exfiltrar dados na forma de JSON cordas.
O Fickle Stealer não é diferente de outras variantes, pois foi projetado para coletar informações de carteiras criptografadas, navegadores da internet com Chromium e mecanismo de navegador Gecko (ou seja, Google Chrome, Microsoft Edge, Courageous, Vivaldi e Mozilla Firefox) e aplicativos como AnyDesk, Discord, FileZilla, Sign, Skype, Steam e Telegram.
Ele também foi projetado para exportar arquivos que correspondem às extensões .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp e pockets.dat.
![Ignorar UAC e exfiltração de dados Ignorar UAC e exfiltração de dados](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtDeZ8yDUfzFAcuYJIFgpAPQ0axvO4T3oK1o3o8GS8r8rS_yoJGDvdea2nkqG3s85VJOa9zAmrGuoLGrnLZElU1e7DGWvLf7o5kAscmJ_IDRj1DPGkxyIx9IPNfB-P8PoMCZDIQxLuPfe2GgILbGfDKT6oucMXP8cXrjqEDzntcPP_UbxzZW71-dw4ATOP/s728-rw-e365/ps1.png)
“Além de alguns aplicativos populares, esse ladrão pesquisa arquivos confidenciais em diretórios-pai de diretórios de instalação comuns para garantir a coleta abrangente de dados”, disse o pesquisador de segurança Pei Han Liao. “Ele também recebe uma lista de alvos do servidor, o que torna o Fickle Stealer mais flexível.”
A divulgação ocorre no momento em que a Symantec divulga detalhes de um ladrão de Python de código aberto chamado AZStealer, que vem com a funcionalidade de roubar uma ampla variedade de informações. Disponível no GitHub, foi anunciado como o “melhor ladrão não detectado do Discord”.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
“Todas as informações roubadas são compactadas e, dependendo do tamanho do arquivo, exfiltradas diretamente através dos webhooks do Discord ou primeiro carregadas no armazenamento de arquivos on-line Gofile e depois exfiltradas by way of Discord”, disse a empresa de propriedade da Broadcom.
“O AZStealer também tentará roubar arquivos de documentos com extensões direcionadas predefinidas ou com palavras-chave específicas, como senha, carteira, backup, and so forth. no nome do arquivo.”