Rust tabanlı yeni bir bilgi çalan kötü amaçlı yazılım adı verildi Kararsız Hırsız güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgilerin toplanması amacıyla birden fazla saldırı zinciri aracılığıyla iletildiği gözlemlendi.
Fortinet FortiGuard Laboratuvarları söz konusu VBA bırakıcısı, VBA indiricisi, bağlantı indiricisi ve çalıştırılabilir indiricisi olmak üzere dört farklı dağıtım yönteminin farkındadır; bunlardan bazıları Kullanıcı Hesabı Denetimini (UAC) atlamak ve Fickle Stealer’ı çalıştırmak için bir PowerShell betiği kullanır.
PowerShell betiği (“bypass.ps1” veya “u.ps1”) ayrıca kurban hakkında ülke, şehir, IP adresi, işletim sistemi sürümü, bilgisayar adı ve kullanıcı adı dahil olmak üzere bilgileri belirli aralıklarla, tarafından kontrol edilen bir Telegram botuna göndermek üzere tasarlanmıştır. saldırgan.
Bir paketleyici kullanılarak korunan hırsız verisi, bir sanal alanda mı yoksa sanal makine ortamında mı çalıştığını belirlemek için bir dizi anti-analiz kontrolü çalıştırır ve ardından JSON biçimindeki verileri sızdırmak için uzak bir sunucuya işaret eder. Teller.
Fickle Stealer, kripto cüzdanlarından, Chromium ve Gecko tarayıcı motoruyla desteklenen web tarayıcılarından (ör. Google Chrome, Microsoft Edge, Brave, Vivaldi ve Mozilla Firefox) ve uygulamalardan bilgi toplamak için tasarlanmış olması bakımından diğer varyantlardan farklı değildir. AnyDesk, Discord, FileZilla, Signal, Skype, Steam ve Telegram.
Ayrıca .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp ve Wallet.dat uzantılarıyla eşleşen dosyaları dışa aktarmak için tasarlanmıştır.
Güvenlik araştırmacısı Pei Han Liao, “Bazı popüler uygulamalara ek olarak, bu hırsız, kapsamlı veri toplamayı sağlamak için ortak kurulum dizinlerinin ana dizinlerindeki hassas dosyaları arar.” dedi. “Ayrıca sunucudan bir hedef listesi alıyor, bu da Fickle Stealer’ı daha esnek kılıyor.”
Açıklama, Symantec’in, çok çeşitli bilgileri çalma işleviyle birlikte gelen AZStealer adlı açık kaynaklı bir Python hırsızının ayrıntılarını açıklamasının ardından geldi. GitHub’da mevcut, reklamı yapıldı “en iyi tespit edilemeyen Discord hırsızı” olarak anılıyor.
Broadcom’un sahibi olduğu şirket, “Çalınan tüm bilgiler sıkıştırılır ve arşivin boyutuna bağlı olarak doğrudan Discord web kancaları aracılığıyla sızdırılır veya ilk önce Gofile çevrimiçi dosya deposuna yüklenir ve ardından Discord aracılığıyla sızdırılır.” söz konusu.
“AZStealer ayrıca önceden tanımlanmış hedef uzantılara sahip veya dosya adında şifre, cüzdan, yedekleme vb. gibi belirli anahtar kelimeler bulunan belge dosyalarının çalınmasına da çalışacaktır.”
