Fickle Stealer

S'ha observat un programari maliciós recentment identificat anomenat Fickle Stealer, construït sobre Rust, infiltrant-se en sistemes a través de diverses cadenes d'atac. El seu objectiu principal és recopilar informació sensible de les màquines compromeses.

Els investigadors han identificat quatre mètodes diferents de distribució per al Fickle Stealer: VBA dropper, VBA downloader, link downloader i executable downloader. Alguns d'aquests mètodes utilitzen un script de PowerShell per eludir el control de comptes d'usuari (UAC) i executar el programari maliciós. Aquest script de PowerShell, conegut com a 'bypass.ps1' o 'u.ps1', està programat per transmetre periòdicament informació de la víctima, com ara el país, la ciutat, l'adreça IP, la versió del sistema operatiu, el nom de l'ordinador i el nom d'usuari, a un bot de Telegram sota el control de l'atacant.

El Fickle Stealer pot comprometre una àmplia gamma de dades sensibles

La càrrega útil de Fickle Stealer està protegida per un empacador i utilitza tècniques antianàlisi robustes per detectar entorns de sandbox i màquines virtuals. Un cop superades aquestes comprovacions, estableix la comunicació amb un servidor remot per transmetre dades en format JSON.

De manera similar a altres variants de programari maliciós, el Fickle Stealer se centra a extreure informació de diverses fonts, com ara carteres de criptomoneda, navegadors web que utilitzen motors Chromium i Gecko (per exemple, Google Chrome, Microsoft Edge, Brave, Vivaldi, Mozilla Firefox) i aplicacions com AnyDesk, Discord, FileZilla, Signal, Skype, Steam i Telegram.

Està programat per orientar fitxers amb extensions com .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp i wallet.dat per a l'exfiltració.

A més, el Fickle Stealer realitza cerques als directoris principals de les rutes d'instal·lació d'ús habitual per localitzar fitxers sensibles, garantint una recopilació de dades completa. També rep instruccions actualitzades del servidor, millorant la seva versatilitat i adaptabilitat en la recuperació d'informació dirigida.

Un programari maliciós robador podria tenir conseqüències nefastes per a les víctimes

El programari maliciós Stealer representa perills importants per a les seves víctimes a causa de la seva capacitat d'infiltrar-se en els sistemes en silenci, recopilar informació sensible i transmetre-la a actors relacionats amb el frau. Aquests són alguns dels perills específics que representen les amenaces de programari maliciós robatori:

• Robatori de dades : el programari maliciós Stealer s'adreça a informació sensible com ara noms d'usuari, contrasenyes, dades financeres (incloses carteres de criptomoneda), documents personals i altra informació confidencial emmagatzemada al sistema de la víctima. Les dades robades es poden utilitzar per a diversos propòsits nocius, com ara robatori d'identitat, frau o vendre'ls a la web fosca.
• Pèrdues financeres : moltes variants de programari maliciós lladres es dirigeixen específicament a carteres de criptomoneda i credencials bancàries. Un cop compromesos, els atacants poden accedir als fons o realitzar transaccions no autoritzades, cosa que comporta pèrdues financeres per a la víctima.

• Violació de la privadesa : la invasió de la privadesa és una preocupació crítica amb el programari maliciós robatori. Pot capturar i transmetre informació personal com ara l'historial de navegació, registres de xat, correus electrònics i altres comunicacions. Aquesta violació de la privadesa pot tenir conseqüències a llarg termini per a persones i empreses.

• Compromis del sistema : el programari maliciós Stealer sovint obre portes posteriors o instal·la càrregues útils insegures addicionals als sistemes infectats. Això podria comportar un major compromís de la seguretat del sistema, permetent als atacants obtenir un accés persistent, instal·lar ransomware o utilitzar el sistema compromès com a part d'una botnet.

• Impacte empresarial : en el cas de les empreses, el programari maliciós robador pot provocar interrupcions operatives importants, danys a la reputació i responsabilitats legals. La pèrdua de dades corporatives, de propietat intel·lectual o d'informació dels clients amb tacte pot tenir conseqüències de gran abast.

• Dificultat en la detecció : el programari maliciós Stealer sovint empra tècniques d'evasió avançades, com ara comprovacions antianàlisi, xifratge i ofuscació per evitar la detecció per programari antimalware i mesures de seguretat. Això pot allargar el període de compromís, permetent als atacants continuar extraient dades desapercebuts.

• Enginyeria social i pesca : algunes variants de programari maliciós robatori utilitzen informació recopilada per llançar atacs de pesca dirigits. Aprofitant les credencials i les dades personals robades, els atacants poden crear correus electrònics o missatges de pesca convincents, augmentant la probabilitat de més compromisos.

En general, els perills que suposa el programari maliciós robatori subratllen la importància de pràctiques sòlides de ciberseguretat, incloses les actualitzacions periòdiques de programari, la protecció dels punts finals, l'educació dels usuaris sobre la consciència de la pesca i el seguiment proactiu d'activitats sospitoses. La detecció i la resposta ràpides són crucials per mitigar l'impacte d'aquestes amenaces sofisticades tant en persones com en organitzacions.