Novo malware inconstante baseado em Rust usa PowerShell para ignorar UAC e exfiltração de dados
Um novo malware ladrão de informações baseado em Rust chamado Ladrão inconstante foi observado sendo entregue por meio de múltiplas cadeias de ataque com o objetivo de coletar informações confidenciais de hosts comprometidos.
O Fortinet FortiGuard Labs disse estar ciente de quatro métodos de distribuição diferentes – nomeadamente VBA dropper, VBA downloader, hyperlink downloader e executável downloader – com alguns deles usando um script PowerShell para ignorar o Consumer Account Management (UAC) e executar o Fickle Stealer.
O script PowerShell (“bypass.ps1” ou “u.ps1”) também foi projetado para enviar periodicamente informações sobre a vítima, incluindo país, cidade, endereço IP, versão do sistema operacional, nome do computador e nome de usuário para um bot do Telegram controlado por o atacante.
A carga útil do ladrão, que é protegida por um empacotador, executa uma série de verificações anti-análise para determinar se está sendo executada em uma sandbox ou em um ambiente de máquina digital, após o que ele se direciona a um servidor remoto para exfiltrar dados na forma de JSON cordas.
O Fickle Stealer não é diferente de outras variantes, pois foi projetado para coletar informações de carteiras criptografadas, navegadores da internet com Chromium e mecanismo de navegador Gecko (ou seja, Google Chrome, Microsoft Edge, Courageous, Vivaldi e Mozilla Firefox) e aplicativos como AnyDesk, Discord, FileZilla, Sign, Skype, Steam e Telegram.
Ele também foi projetado para exportar arquivos que correspondem às extensões .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp e pockets.dat.
“Além de alguns aplicativos populares, esse ladrão pesquisa arquivos confidenciais em diretórios-pai de diretórios de instalação comuns para garantir a coleta abrangente de dados”, disse o pesquisador de segurança Pei Han Liao. “Ele também recebe uma lista de alvos do servidor, o que torna o Fickle Stealer mais flexível.”
A divulgação ocorre no momento em que a Symantec divulga detalhes de um ladrão de Python de código aberto chamado AZStealer, que vem com a funcionalidade de roubar uma ampla variedade de informações. Disponível no GitHub, foi anunciado como o “melhor ladrão não detectado do Discord”.
“Todas as informações roubadas são compactadas e, dependendo do tamanho do arquivo, exfiltradas diretamente através dos webhooks do Discord ou primeiro carregadas no armazenamento de arquivos on-line Gofile e depois exfiltradas by way of Discord”, disse a empresa de propriedade da Broadcom.
“O AZStealer também tentará roubar arquivos de documentos com extensões direcionadas predefinidas ou com palavras-chave específicas, como senha, carteira, backup, and so forth. no nome do arquivo.”
