网络安全研究人员发现了一种名为 Fickle Stealer 的新恶意软件,它是用Rust编程语言开发的。该程序旨在从受感染的设备窃取机密信息。
Fortinet 的专家确定了 四种分发 Fickle Stealer 的方法:VBA dropper、VBA downloader、link downloader 和executable downloader。其中一些使用 PowerShell 脚本绕过用户帐户控制 (UAC) 并启动恶意软件。
名为“bypass.ps1”或“u.ps1”的 PowerShell 脚本还旨在定期向 Telegram 机器人发送有关受害者的信息,包括国家、城市、IP 地址、操作系统版本、计算机名称和用户名。由攻击者。
Fickle Stealer 恶意软件受到包装器的保护,会执行一系列检查来检测沙箱或虚拟机,然后以 JSON 格式将数据发送到远程服务器。
Fickle Stealer 从加密钱包、基于 Chromium 和 Gecko 的网络浏览器(Google Chrome、Microsoft Edge、Brave、Vivaldi 和 Mozilla Firefox)以及 AnyDesk、Discord、FileZilla、Signal、Skype、Steam 和 Telegram 应用程序收集信息。该程序还导出扩展名为 txt、kdbx、pdf、doc、docx、xls、xlsx、ppt、pptx、odt、odp 和 wallet.dat 的文件。
“除了流行的应用程序之外,该信息软件还会在共享安装目录的父目录中搜索敏感文件,以确保全面的数据收集,”安全研究员 Pei Han Liao 指出。 “它还会从服务器中提取目标列表,这使得 Fickle Stealer 更加灵活。”
此外,博通旗下的 赛门铁克最近披露了 另一种名为 AZStealer 的恶意软件的详细信息。它基于Python,还收集了广泛的信息。 AZStealer 可 在 GitHub 上使用,并被宣传为“最佳的无法检测的 Discord 窃贼”。
“所有被盗信息都会被存档,并根据存档的大小直接通过 Discord Webhook 泄露。或者它首先上传到 Gofile 在线存储,然后通过 Discord,”研究人员报告道。
“AZStealer 还尝试窃取具有预定义扩展名或包含“密码”、“钱包”、“备份”等关键字的文档。在文件名中。”
发表评论
您还未登录,请先登录。
登录