Rilevamento Malware Fickle Stealer: Nuovo Stealer Basato su Rust Si Traveste da Software Legittimo per Rubare Dati da Dispositivi Compromessi
Indice:
Un nuovo malware di tipo stealer basato su Rust, soprannominato Fickle Stealer, è emerso sulla scena, capace di estrarre dati sensibili dagli utenti compromessi. Il nuovo stealer si maschera come il software GitHub Desktop per Windows e impiega una vasta gamma di tecniche di evasione anti-malware e anti-rilevamento, rappresentando una minaccia crescente per le sue potenziali vittime.
Rileva il malware Fickle Stealer
L’attuale panorama della sicurezza informatica è caratterizzato dalla crescente prevalenza del malware di tipo stealer , che sta diventando sempre più furtivo e sfuggente. In particolare, queste minacce, come le recenti campagne che coinvolgono Strela Stealer and PXA Stealer, impiegano una varietà di tecniche sofisticate per eludere le difese di sicurezza. L’emergere del nuovo malware Fickle Stealer, utilizzato dagli avversari per rubare dati sensibili e in grado di mascherarsi come il software GitHub Desktop, spinge le organizzazioni a rafforzare le misure di sicurezza proattive e aumentare la consapevolezza sulla sicurezza informatica per identificare tempestivamente le intrusioni malevoli. La piattaforma SOC Prime per la difesa collettiva informatica fornisce ai team di sicurezza una collezione rilevante di contenuti SOC per rilevare Fickle Stealer.
Clicca Esplora le Rilevazioni qui sotto per accedere istantaneamente agli elementi di contenuto arricchiti di contesto corrispondenti. Queste rilevazioni sono allineate con MITRE ATT&CK® e forniscono un contesto minacce informatiche approfondito per la ricerca di minacce semplificata, compresi CTI e altri metadati pertinenti. Gli ingegneri della sicurezza possono anche convertire il codice di rilevazione in oltre 30 formati SIEM, EDR e Data Lake che corrispondono ai loro bisogni di sicurezza.
Analisi di Fickle Stealer
I difensori hanno osservato un’ondata di attacchi informatici che diffondono Fickle Stealer, un nuovo malware stealer che si maschera comunemente come software legittimo. I ricercatori Trellix hanno recentemente pubblicato ricerche sugli attacchi in corso di Fickle Stealer, in cui una nuova variante malevola si maschera come GitHub Desktop per Windows.
Fickle Stealer, emerso per la prima volta a maggio 2024, può diffondersi attraverso diversi vettori di attacco, inclusi phishing, download drive-by, infezioni ransomware e uso improprio di certificati non validi. Una volta installato, prende misure per stabilire la persistenza ed eludere le difese di sicurezza come il Controllo dell’Account Utente, consentendogli di svolgere il suo compito principale di rubare dati sensibili dai dispositivi colpiti. Il malware può scaricare file aggiuntivi, catturare schermate e autodistruggersi dopo aver mostrato un falso messaggio di errore, rendendo la sua rilevazione particolarmente sfidante per i difensori.
Fickle Stealer sfrutta una catena di infezione multi-fase che ostacola la rilevazione e la mitigazione. Il malware si diffonde via un set di metodi offensivi come i droppers VBA che militarizzano le vulnerabilità di Windows e impiega un packer personalizzato per travestire il suo codice dannoso come file legittimi. Presenta tattiche di analisi anti-malware, come l’evasione sandbox, strumenti di debugging e messaggi di errore fuorvianti, permettendogli di evitare la rilevazione rimanendo sotto il radar e raccogliendo dati utente.
Il nuovo stealer sfrutta script PowerShell, come bypass.ps1, per esfiltrare dati sensibili, inclusi il paese della vittima, l’indirizzo IP e il sistema operativo, tramite un bot Telegram. Esegue comandi nascosti per trasmettere le informazioni raccolte a un server C2 avversario e utilizza script aggiuntivi per iniettare codice maligno in eseguibili, garantendo persistenza.
Con la sua catena di attacchi multi-fase, ampia distribuzione su molteplici vettori di attacco e avanzate tecniche di evasione, Fickle Stealer si dimostra un malware furtivo e impegnativo, rendendo difficile per i difensori rilevare la sua presenza in modo tempestivo. Sfruttando la suite completa di prodotti di SOC Prime per l’ingegneria della rilevazione basata su AI, la caccia alle minacce automatizzata e la rilevazione avanzata delle minacce, i team di sicurezza possono potenziare le loro difese su larga scala aiutando la loro organizzazione a rendere a prova di futuro la postura di sicurezza informatica e a superare gli avversari.complete product suite for AI-powered detection engineering, automated threat hunting, and advanced threat detection, security teams can elevate their defenses at scale while helping their organization future-proof the cybersecurity posture and outpace adversaries.
