Rust tabanlı yeni bir bilgi çalan kötü amaçlı yazılım adı verildi Kararsız Hırsız güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgilerin toplanması amacıyla birden fazla saldırı zinciri aracılığıyla iletildiği gözlemlendi.
Fortinet FortiGuard Labs, VBA dropper, VBA downloader, link downloader ve çalıştırılabilir indirici olmak üzere dört farklı dağıtım yönteminin farkında olduğunu ve bunların bazılarının Kullanıcı Hesabı Denetimini (UAC) atlayıp Fickle Stealer’ı çalıştırmak için bir PowerShell betiği kullandığını söyledi.
PowerShell betiği (“bypass.ps1” veya “u.ps1”) ayrıca kurban hakkında ülke, şehir, IP adresi, işletim sistemi sürümü, bilgisayar adı ve kullanıcı adı dahil olmak üzere bilgileri belirli aralıklarla, tarafından kontrol edilen bir Telegram botuna göndermek üzere tasarlanmıştır. saldırgan.
Bir paketleyici kullanılarak korunan hırsız verisi, bir sanal alanda mı yoksa sanal makine ortamında mı çalıştığını belirlemek için bir dizi anti-analiz kontrolü çalıştırır ve ardından JSON biçimindeki verileri sızdırmak için uzak bir sunucuya işaret eder. Teller.
Fickle Stealer, kripto cüzdanlarından, Chromium tarafından desteklenen web tarayıcılarından ve Gecko tarayıcı motorundan (ör. Google Chrome, Microsoft Edge, Brave, Vivaldi ve Mozilla Firefox) ve uygulamalardan bilgi toplamak için tasarlanmış olması bakımından diğer varyantlardan farklı değildir. AnyDesk, Discord, FileZilla, Signal, Skype, Steam ve Telegram.
Ayrıca .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp ve Wallet.dat uzantılarıyla eşleşen dosyaları dışa aktarmak için tasarlanmıştır.
Güvenlik araştırmacısı Pei Han Liao, “Bazı popüler uygulamalara ek olarak, bu hırsız, kapsamlı veri toplamayı sağlamak için ortak kurulum dizinlerinin ana dizinlerindeki hassas dosyaları da arar.” dedi. “Ayrıca sunucudan bir hedef listesi alıyor, bu da Fickle Stealer’ı daha esnek hale getiriyor.”
Açıklama, Symantec’in, çok çeşitli bilgileri çalma işleviyle birlikte gelen AZStealer adlı açık kaynaklı bir Python hırsızının ayrıntılarını açıklamasının ardından geldi. GitHub’da mevcut olan bu uygulama, “tespit edilemeyen en iyi Discord hırsızı” olarak ilan edildi.
Broadcom’un sahibi olduğu şirket, “Çalınan tüm bilgiler sıkıştırılır ve arşivin boyutuna bağlı olarak doğrudan Discord web kancaları aracılığıyla sızdırılır veya önce Gofile çevrimiçi dosya deposuna yüklenir ve ardından Discord aracılığıyla sızdırılır” dedi.
“AZStealer ayrıca önceden tanımlanmış hedef uzantılara sahip veya dosya adında şifre, cüzdan, yedekleme vb. gibi belirli anahtar kelimeler bulunan belge dosyalarının çalınmasına da çalışacaktır.”