변덕스러운 스틸러 악성코드 탐지: 새로운 러스트 기반 스틸러가 합법적인 소프트웨어로 위장하여 손상된 장치에서 데이터를 탈취

Fickle Stealer라는 새로운 러스트 기반 정보 탈취 악성코드가 나타났습니다. 이 악성코드는 감염된 사용자로부터 민감한 데이터를 추출할 수 있습니다. 새 탈취 악성코드는 Windows용 GitHub Desktop 소프트웨어로 가장하며, 광범위한 안티 멀웨어 및 탐지 회피 기법을 채택하여 잠재적 피해자에게 증가하는 위협을 제공합니다.

Fickle Stealer 악성코드 탐지

현재 사이버 보안 환경은 탈취 악성코드의 증가하는 은밀성과 회피성으로 특징지어집니다. 특히, 최근 캠페인에는 Strela Stealer and PXA Stealer가 포함되며, 보안 방어를 우회하기 위해 다양한 정교한 기법을 활용합니다. GitHub Desktop 소프트웨어로 가장할 수 있는 새로운 Fickle Stealer 악성코드의 출현은 조직이 사전 보안 조치를 강화하고, 악의적인 침입을 시기 적절하게 파악할 수 있도록 사이버 보안 인식을 증가시키도록 하고 있습니다. 집합적 사이버 방어를 위한 SOC Prime 플랫폼은 Fickle Stealer를 탐지할 수 있는 관련 SOC 콘텐츠 모음을 보안 팀에게 제공합니다.

클릭 탐지 탐색 아래에서 즉시 해당 맥락이 풍부한 콘텐츠 항목에 액세스하세요. 이러한 탐지는MITRE ATT&CK®에 맞춰져 있으며, 심층적인 사이버 위협 맥락을 제공합니다 으므로 위협 연구를 효율화합니다하여,CTI및 기타 관련 메타데이터를 포함합니다. 보안 엔지니어는 또한 탐지 코드를 30개 이상의 SIEM, EDR, 데이터 레이크 형식으로 변환하여 그들의 보안 요구에 맞출 수 있습니다.

탐지 탐색

Fickle Stealer 분석

방어자들은 일반적으로 합법적인 소프트웨어로 위장한 Fickle Stealer라는 새로운 탈취 악성코드가 확산되는 사이버 공격의 파동을 관찰했습니다. Trellix 연구원들은 최근 GitHub Desktop으로 가장하는 새로운 악성 변종이 있는 Fickle Stealer 공격에 대한 연구를 발표했습니다.

2024년 5월 처음 등장한 Fickle Stealer는 피싱, 드라이브 바이 다운로드, 랜섬웨어 감염, 잘못된 인증서의 오용을 포함한 다양한 공격 벡터를 통해 확산될 수 있습니다. 설치되면 사용자 계정 컨트롤과 같은 보안 방어 체계를 피하는 등의 조치를 취하여 영구성을 확립하고 민감한 데이터를 훔치는 핵심 작업을 수행할 수 있습니다. 이 악성코드는 추가 파일을 다운로드하고, 스크린샷을 캡처하며, 가짜 오류 메시지를 표시한 후 스스로 삭제하여 탐지를 특히 어렵게 만듭니다.

Fickle Stealer는 탐지 및 완화를 방해하는 다단계 감염 체인을 활용합니다. 이 악성코드는 Windows 결함을 무기화하는 VBA 드로퍼와 같은 일련의 공격적 방법을 통해 확산되며, 유해한 코드를 합법적인 파일로 위장하기 위한 맞춤형 패커를 사용합니다. 샌드박스 회피, 디버깅 도구, 오해를 일으키는 오류 메시지와 같은 안티 멀웨어 분석 전술을 특징으로 하여 탐지를 피하면서도 은밀하게 사용자 데이터를 수집할 수 있습니다.

새로운 탈취 악성코드는 PowerShell 스크립트, 예를 들어 bypass.ps1을 사용하여 피해자의 국가, IP 주소, 운영체제 등을 포함한 민감한 데이터를 추출하여 Telegram 봇을 통해 전송합니다. 수집된 정보를 적군 C2 서버로 전달하기 위한 숨겨진 명령을 실행하며, 추가 스크립트를 사용하여 실행 파일에 악성 코드를 주입하여 영구성을 보장합니다.

다단계 공격 체인, 다양한 공격 벡터에 걸친 광범위한 배포 및 고도화된 회피 기법으로 인해 Fickle Stealer는 탐지를 어렵게 만드는 은밀하고 도전적인 악성코드임을 입증합니다. SOC Prime의완전한 제품군을 활용하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 통해 보안 팀이 방어 체계를 대규모로 향상시키고 조직이 사이버 보안 자세를 미래 지향적으로 유지하며 적군을 앞설 수 있도록 합니다.