Detección de Fickle Stealer: Nuevo Malware Basado en Rust se Disfraza de Software Legítimo para Robar Datos de Dispositivos Comprometidos
Tabla de contenidos:
Un nuevo malware tipo stealer basado en Rust llamado Fickle Stealer ha surgido en la escena, capaz de extraer datos sensibles de usuarios comprometidos. Este nuevo stealer se hace pasar por el software GitHub Desktop para Windows y emplea una amplia gama de técnicas de evasión de detección y anti-malware, representando una amenaza creciente para sus posibles víctimas.
Detectar el Malware Fickle Stealer
El panorama actual de la ciberseguridad está marcado por la creciente prevalencia de stealer malware, que se está volviendo cada vez más sigiloso y evasivo. Notablemente, estas amenazas, como las recientes campañas que involucran Strela Stealer and PXA Stealer, emplean una variedad de técnicas sofisticadas para eludir las defensas de seguridad. La aparición del nuevo malware Fickle Stealer, que es utilizado por adversarios para robar datos sensibles y puede hacerse pasar por el software GitHub Desktop, incita a las organizaciones a fortalecer medidas de seguridad proactivas y aumentar la conciencia de ciberseguridad para identificar a tiempo las intrusiones maliciosas. La plataforma SOC Prime para la defensa cibernética colectiva equipa a los equipos de seguridad con una colección relevante de contenido SOC para detectar Fickle Stealer.
Haga clic Explore las Detecciones a continuación para acceder instantáneamente a los elementos de contenido correspondientes enriquecidos con contexto. Estas detecciones están alineadas con MITRE ATT&CK® y proporcionan un contexto profundo de amenazas cibernéticas para una investigación de amenazas simplificada, incluyendo CTI y otros metadatos relevantes. Los ingenieros de seguridad también pueden convertir el código de detección en más de 30 formatos de SIEM, EDR y Data Lake que coinciden con sus necesidades de seguridad.
Análisis de Fickle Stealer
Los defensores han observado una ola de ataques cibernéticos que propagan Fickle Stealer, un nuevo malware tipo stealer que frecuentemente se disfraza como software legítimo. Los investigadores de Trellix han publicado recientemente investigaciones sobre los ataques en curso de Fickle Stealer, en los cuales una nueva cepa maliciosa se hace pasar por GitHub Desktop para Windows.
Fickle Stealer, que surgió por primera vez en mayo de 2024, puede propagarse a través de diversos vectores de ataque, incluyendo phishing, descargas drive-by, infecciones por ransomware y el uso indebido de certificados inválidos. Una vez instalado, toma medidas para establecer persistencia y evadir defensas de seguridad como el Control de Cuentas de Usuario, lo que le permite llevar a cabo su tarea principal de robar datos sensibles de dispositivos afectados. El malware puede descargar archivos adicionales, capturar pantallas y autodestruirse tras mostrar un mensaje de error falso, haciendo su detección especialmente desafiante para los defensores.
Fickle Stealer aprovecha una cadena de infección en múltiples etapas que dificulta la detección y mitigación. El malware se propaga a través de un conjunto de métodos ofensivos como los droppers VBA que aprovechan fallos de Windows y emplea un packer personalizado para disfrazar su código dañino como archivos legítimos. Presenta tácticas de análisis anti-malware, como evasión a sandbox, herramientas de depuración y mensajes de error engañosos, permitiéndole evitar la detección mientras permanece bajo el radar recopilando datos de usuarios.
El nuevo stealer aprovecha scripts de PowerShell, como bypass.ps1, para exfiltrar datos sensibles, incluyendo el país de la víctima, la dirección IP y el sistema operativo, a través de un bot de Telegram. Ejecuta comandos ocultos para transmitir la información recopilada a un servidor C2 de adversario y usa scripts adicionales para inyectar código malicioso en ejecutables, asegurando persistencia.
Con su cadena de ataque en múltiples etapas, amplia distribución a través de múltiples vectores de ataque, y técnicas avanzadas de evasión, Fickle Stealer demuestra ser un malware sigiloso y desafiante, haciéndolo difícil de detectar a tiempo por los defensores. Al aprovechar lacompleta suite de productos de SOC Prime para la ingeniería de detección impulsada por IA, la caza automatizada de amenazas y la detección avanzada de amenazas, los equipos de seguridad pueden elevar sus defensas a escala mientras ayudan a sus organizaciones a prepararse para el futuro en ciberseguridad y adelantarse a los adversarios.
