Detecção do Malware Fickle Stealer: Novo Ladrão Baseado em Rust Disfarçado como Software Legítimo para Roubar Dados de Dispositivos Comprometidos
Índice:
Um novo malware stealer baseado em Rust chamado Fickle Stealer surgiu na cena, capaz de extrair dados sensíveis de usuários comprometidos. O novo stealer se disfarça como software GitHub Desktop para Windows e emprega uma ampla gama de técnicas de anti-malware e evasão de detecção, representando uma ameaça crescente para suas potenciais vítimas.
Detectar Malware Fickle Stealer
O cenário atual de cibersegurança é marcado pela crescente prevalência de malware stealer , que está se tornando cada vez mais furtivo e evasivo. Notavelmente, essas ameaças, como as campanhas recentes envolvendo Strela Stealer and PXA Stealer, empregam uma variedade de técnicas sofisticadas para contornar as defesas de segurança. O surgimento do novo malware Fickle Stealer, que é utilizado por adversários para roubar dados sensíveis e pode se disfarçar como software GitHub Desktop, encoraja as organizações a fortalecer medidas de segurança proativas e aumentar a conscientização sobre cibersegurança para identificar intrusões maliciosas de forma oportuna. A plataforma SOC Prime para defesa cibernética coletiva equipa equipes de segurança com uma coleção relevante de conteúdo SOC para detectar o Fickle Stealer.
Clique Explore Detecções abaixo para acessar instantaneamente os itens de conteúdo correspondentes enriquecidos com contexto. Essas detecções estão alinhadas comMITRE ATT&CK®e fornecem um contexto de ameaça cibernética aprofundado para pesquisa de ameaças simplificada, incluindoCTIe outros metadados relevantes. Engenheiros de segurança também podem converter o código de detecção em mais de 30 formatos de SIEM, EDR e Data Lake que atendem às suas necessidades de segurança.
Análise do Fickle Stealer
Os defensores observaram uma onda de ataques cibernéticos que espalham o Fickle Stealer, um novo malware stealer que comumente se disfarça como software legítimo. Pesquisadores da Trellix publicaram recentemente uma pesquisa sobre ataques contínuos do Fickle Stealer, nos quais uma nova cepa maliciosa se disfarça como GitHub Desktop para Windows.
O Fickle Stealer, que surgiu pela primeira vez em maio de 2024, pode ser disseminado através de diversos vetores de ataque, incluindo phishing, downloads drive-by, infecções por ransomware e uso indevido de certificados inválidos. Uma vez instalado, ele toma medidas para estabelecer persistência e evadir defesas de segurança como o Controle de Contas de Usuário, permitindo que realize sua tarefa principal de roubar dados sensíveis de dispositivos impactados. O malware pode baixar arquivos adicionais, capturar screenshots e se autodestruir após mostrar uma falsa mensagem de erro, tornando sua detecção especialmente desafiadora para os defensores.
O Fickle Stealer emprega uma cadeia de infecção em várias etapas que dificulta a detecção e mitigação. O malware se espalha por um conjunto de métodos ofensivos como droppers VBA que exploram falhas do Windows e emprega um empacotador personalizado para disfarçar seu código prejudicial como arquivos legítimos. Ele apresenta táticas de análise anti-malware, como evasão de sandbox, ferramentas de depuração e mensagens de erro enganosas, permitindo evitar a detecção enquanto permanece fora do radar e colhe dados do usuário.
O novo stealer aproveita scripts do PowerShell, como bypass.ps1, para exfiltrar dados sensíveis, incluindo o país da vítima, endereço IP e sistema operacional, via um bot do Telegram. Ele executa comandos ocultos para transmitir informações coletadas para um servidor C2 adversário e usa scripts adicionais para injetar código malicioso em executáveis, garantindo persistência.
Com sua cadeia de ataque em várias etapas, ampla distribuição através de múltiplos vetores de ataque e técnicas avançadas de evasão, o Fickle Stealer prova ser um malware furtivo e desafiador, tornando difícil para os defensores detectarem sua presença de forma oportuna. Aproveitando a suíte completa de produtos da SOC Prime para engenharia de detecção com IA, caça de ameaças automatizada e detecção avançada de ameaças, as equipes de segurança podem elevar suas defesas em escala, ao mesmo tempo em que ajudam sua organização a preparar o campo da cibersegurança para o futuro e a antecipar os adversários. for AI-powered detection engineering, automated threat hunting, and advanced threat detection, security teams can elevate their defenses at scale while helping their organization future-proof the cybersecurity posture and outpace adversaries.
