Fickle Stealer Malware Detection: New Rust-Based Stealer Disguises as Legitimate Software to Steal Data from Compromised Devices

新たなRustベースのスティーラー型マルウェア、Fickle Stealerが登場し、侵害されたユーザーから機密データを抽出する能力を持っています。この新しいスティーラーはWindows向けGitHub Desktopソフトウェアを装い、広範なアンチマルウェア技術と検出回避技術を駆使し、潜在的な被害者への脅威を高めています。

Fickle Stealerマルウェアの検出

現在のサイバーセキュリティの状況は、 スティーラー マルウェアの増加傾向が顕著になっていることを特徴としています。特に、最近のキャンペーンに関与する脅威として、 Strela Stealer and PXA Stealerなどがあります。これらは、セキュリティ防御を回避するための高度な技術を用いています。GitHub Desktopソフトウェアを装うことで機密情報を盗む新しいFickle Stealerマルウェアの出現は、組織に対し、積極的なセキュリティ対策を強化し、悪意のある侵入をタイムリーに特定するためにサイバーセキュリティの意識を高めることを促しています。SOC Primeプラットフォームは、Fickle Stealerを検出するための関連したSOCコンテンツの収集を通じて、セキュリティチームを支援します。

クリックして 検出を探る 下記を選択して、即座に対応するコンテキスト強化されたコンテンツアイテムに アクセスしてください。これらの検出はMITRE ATT&CK®と整合し、詳細なサイバー脅威コンテキストを提供します 効率的な脅威研究のために、CTIおよび他の関連メタデータが含まれています。セキュリティエンジニアは、検出コードを30を超えるSIEM、EDR、およびデータレイクフォーマットに変換できます。 それらは彼らのセキュリティニーズに一致します。

検出を探る

Fickle Stealerの分析

ディフェンダーは、新しいスティーラー型マルウェアFickle Stealerを広める一連のサイバー攻撃を観察しました。このマルウェアは一般的に正規のソフトウェアに偽装します。 Trellixの研究者たちは、最近Fickle Stealer攻撃の研究を発表し、新たな悪意のある亜種がWindows向けGitHub Desktopとして偽装されていることを示しました。 have recently published research into ongoing Fickle Stealer attacks, in which a new malicious strain masquerades itself as GitHub Desktop for Windows.

Fickle Stealerは、2024年5月に初めて現れ、多様な攻撃ベクトルを通じて拡散します。これには、 フィッシング、ドライブバイダウンロード、ランサムウェア感染、無効な証明書の不正利用が含まれます。インストールされると、パーシステンスを確立し、ユーザーアカウント制御のようなセキュリティ防御を回避するステップを取り、影響を受けたデバイスから機密データを盗む主なタスクを遂行します。このマルウェアは、追加のファイルをダウンロードし、スクリーンショットをキャプチャし、偽のエラーメッセージを表示した後に自壊することができ、検出を特に困難にしています。

Fickle Stealerは、検出やミティゲーションを妨げる多段階の感染チェーンを利用します。このマルウェアは、Windowsの欠陥を武器化したVBAドロッパーのような攻撃的方法を使用して広がり、独自のパッカーを使用してその有害なコードを正規のファイルとして偽装します。アンチマルウェア分析戦術、サンドボックス回避、デバッグツール、誤解を招くエラーメッセージなどがあります。これにより、検出を回避しながらレーダーの下に潜み、ユーザーデータを収集することが可能です。

新しいスティーラーは、bypass.ps1のようなPowerShellスクリプトを利用して、被害者の国、IPアドレス、OSなどの機密データをTelegramボット経由で流出させます。収集した情報をアドバーサリーのC2サーバーに中継するために隠れたコマンドを実行し、実行可能ファイルに悪意のあるコードを注入して、永続性を確保する追加スクリプトを使用します。

その多段階の攻撃チェーン、複数の攻撃ベクトルにまたがる広範な配布、および高度な回避技術を活用することで、Fickle Stealerは秘匿性が高く挑戦的なマルウェアであることを証明し、ディフェンダーがその存在を迅速に検出することを困難にしています。 SOC PrimeのAIによる検出エンジニアリング、自動化された脅威ハンティング、先進脅威検出のための完全な製品スイートを活用することで、セキュリティチームは、大規模な防御を強化し、組織のサイバーセキュリティ体制を将来にわたって証明し、敵を凌駕することができます。.