Fortinet FortiGuard Labs 研究人员检测到一种基于 Rust 的新型信息窃取程序,称为 Fickle Stealer,它通过多种攻击媒介传播。
该恶意软件具有复杂的代码,并依赖于多种分发策略,包括 VBA 滴管、VBA 下载器、链接下载器和可执行下载器。
攻击者通常会下载 PowerShell 脚本(u.ps1 或 bypass.ps1)来执行初始设置任务。在某些情况下,攻击者使用其他文件下载 PowerShell 脚本。
PowerShell 脚本的主要目标是绕过用户帐户控制 (UAC) 并执行 Fickle Stealer 恶意软件。该脚本还会设置一个任务,以便在 15 分钟后运行另一个脚本 engine.ps1。该脚本在系统目录中放置一个真实和虚假的 WmiMgmt.msc 文件以绕过 UAC。该虚假文件滥用 ActiveX 控件来打开具有本地 URL 的 Web 浏览器,该 URL 提供用于下载和执行 Fickle Stealer 的页面。此方法利用模拟受信任目录技术以提升的权限执行,而不会触发 UAC 提示。
脚本 u.ps1、engine.ps1 和 inject.ps1 经常通过向攻击者的 Telegram 机器人发送消息来报告其状态。该脚本执行此任务,下载并执行每条消息的 tgmes.ps1。tgmes.ps1 以随机名称存储在 Temp 文件夹中,并在执行后删除。除了消息之外,tgmes.ps1 还会向 Telegram 机器人发送受害者详细信息,例如国家、城市、IP 地址、操作系统版本、计算机名称和用户名。
Fickle Stealer 使用伪装成合法可执行文件的打包程序。专家推测,作者通过用打包程序的代码替换合法可执行文件的某些代码来开发打包程序。此技巧允许恶意代码避免静态分析。
“如果环境检查通过,Fickle Stealer 会将受害者信息发送到服务器。服务器发送目标应用程序和关键字列表作为响应。“Fickle Stealer 根据列表发送文件夹中的所有文件。”
信息窃取程序执行一系列反分析检查,以确定它是在沙盒环境中还是在虚拟机环境中运行。
原文始发于微信公众号(黑猫安全):新的 RUST 信息窃取程序 FICKLE 窃取程序通过各种攻击方法传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论