Fickle Stealer

È stato osservato che un malware recentemente identificato denominato Fickle Stealer, basato su Rust, si infiltra nei sistemi attraverso varie catene di attacco. Il suo obiettivo principale è raccogliere informazioni sensibili dalle macchine compromesse.

I ricercatori hanno identificato quattro distinti metodi di distribuzione per Fickle Stealer: dropper VBA, downloader VBA, downloader di collegamenti e downloader di eseguibili. Alcuni di questi metodi utilizzano uno script PowerShell per aggirare il controllo dell'account utente (UAC) ed eseguire il malware. Questo script PowerShell, noto come "bypass.ps1" o "u.ps1", è programmato per trasmettere periodicamente informazioni sulla vittima, come paese, città, indirizzo IP, versione del sistema operativo, nome del computer e nome utente, a un bot di Telegram sotto il controllo dell'attaccante.

Fickle Stealer può compromettere un'ampia gamma di dati sensibili

Il payload Fickle Stealer è protetto da un packer e impiega robuste tecniche anti-analisi per rilevare ambienti sandbox e macchine virtuali. Una volta aggirati questi controlli, stabilisce la comunicazione con un server remoto per trasmettere i dati in formato JSON.

Similmente ad altre varianti di malware, Fickle Stealer si concentra sull'estrazione di informazioni da varie fonti come portafogli di criptovaluta, browser Web che utilizzano motori Chromium e Gecko (ad esempio, Google Chrome, Microsoft Edge, Brave, Vivaldi, Mozilla Firefox) e applicazioni come AnyDesk, Discord, FileZilla, Signal, Skype, Steam e Telegram.

È programmato per prendere di mira file con estensioni come .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp e wallet.dat per l'esfiltrazione.

Inoltre, Fickle Stealer effettua ricerche nelle directory principali dei percorsi di installazione comunemente utilizzati per individuare file sensibili, garantendo una raccolta dati completa. Riceve inoltre istruzioni aggiornate dal server, migliorandone la versatilità e l'adattabilità nel recupero di informazioni mirate.

Un malware stealer potrebbe avere conseguenze disastrose per le vittime

Il malware stealer rappresenta un pericolo significativo per le sue vittime a causa della sua capacità di infiltrarsi silenziosamente nei sistemi, raccogliere informazioni sensibili e trasmetterle ad attori legati alle frodi. Ecco alcuni pericoli specifici posti dalle minacce malware di tipo stealer:

• Furto di dati : il malware stealer prende di mira informazioni sensibili come nomi utente, password, dati finanziari (inclusi portafogli di criptovaluta), documenti personali e altre informazioni riservate archiviate nel sistema della vittima. I dati rubati possono essere utilizzati per vari scopi dannosi, tra cui il furto di identità, la frode o la vendita sul Dark Web.
• Perdite finanziarie : molte varianti di malware stealer prendono di mira specificamente i portafogli di criptovaluta e le credenziali bancarie. Una volta compromessi, gli aggressori possono accedere ai fondi o effettuare transazioni non autorizzate, con conseguenti perdite finanziarie per la vittima.

• Violazione della privacy : l'invasione della privacy è un problema critico con il malware stealer. Può acquisire e trasmettere informazioni personali come cronologia di navigazione, registri di chat, e-mail e altre comunicazioni. Questa violazione della privacy può avere conseguenze di lunga durata per individui e imprese.

• Compromissione del sistema : il malware stealer spesso apre backdoor o installa ulteriori payload non sicuri sui sistemi infetti. Ciò potrebbe portare a un'ulteriore compromissione della sicurezza del sistema, consentendo agli aggressori di ottenere un accesso persistente, installare ransomware o utilizzare il sistema compromesso come parte di una botnet.

• Impatto aziendale : nel caso delle aziende, il malware stealer può provocare interruzioni operative significative, danni alla reputazione e responsabilità legali. La perdita di dati aziendali, proprietà intellettuale o informazioni sui clienti può avere conseguenze di vasta portata.

• Difficoltà di rilevamento : il malware stealer utilizza spesso tecniche di evasione avanzate come controlli anti-analisi, crittografia e offuscamento per evitare il rilevamento da parte di software anti-malware e misure di sicurezza. Ciò può prolungare il periodo di compromissione, consentendo agli aggressori di continuare a estrarre dati senza essere notati.

• Ingegneria sociale e phishing : alcune varianti di malware stealer utilizzano le informazioni raccolte per lanciare attacchi di phishing mirati. Sfruttando credenziali e dettagli personali rubati, gli aggressori possono creare e-mail o messaggi di phishing convincenti, aumentando la probabilità di ulteriori compromissioni.

Nel complesso, i pericoli posti dal malware stealer sottolineano l’importanza di solide pratiche di sicurezza informatica, tra cui aggiornamenti regolari del software, protezione degli endpoint, formazione degli utenti sulla consapevolezza del phishing e monitoraggio proattivo delle attività sospette. Il rilevamento e la risposta rapidi sono fondamentali per mitigare l’impatto di queste minacce sofisticate su individui e organizzazioni.