مقدمه
بدافزار جدیدی به نام Fickle Stealer که بر پایه زبان برنامهنویسی Rust نوشته شده است، توانسته با استفاده از PowerShell برای عبور از کنترل حساب کاربری (UAC) و استخراج اطلاعات حساس از سیستمهای آلوده، خود را مطرح کند. این بدافزار با چندین روش توزیع مختلف، اطلاعات حساس را هدف قرار میدهد.
روشهای توزیع بدافزار Fickle Stealer
آزمایشگاههای Fortinet FortiGuard اعلام کردهاند که چهار روش مختلف برای توزیع این بدافزار شناسایی شده است:
- VBA Dropper
- VBA Downloader
- Link Downloader
- Executable Downloader
برخی از این روشها از اسکریپت PowerShell برای عبور از UAC و اجرای Fickle Stealer استفاده میکنند.
عملکرد اسکریپت PowerShell
اسکریپت PowerShell با نامهای “bypass.ps1” یا “u.ps1” طراحی شده تا بهصورت دورهای اطلاعات قربانی مانند کشور، شهر، آدرس IP، نسخه سیستم عامل، نام کامپیوتر و نام کاربری را به یک بات تلگرام که تحت کنترل مهاجم است، ارسال کند.
جمعآوری اطلاعات توسط بدافزار Fickle Stealer
این بدافزار با استفاده از تکنیکهای پیچیدهای مانند ضد تحلیل، بررسی میکند که آیا در یک محیط شبیهسازی یا مجازی اجرا میشود یا خیر. سپس به یک سرور راه دور متصل شده و اطلاعات جمعآوری شده را به صورت رشتههای JSON ارسال میکند.
این اطلاعات شامل دادههای حساس از کیفپولهای ارزهای دیجیتال، مرورگرهای وب مبتنی بر Chromium و موتور مرورگر Gecko (مانند Google Chrome، Microsoft Edge، Brave، Vivaldi و Mozilla Firefox)، و همچنین برنامههایی مانند AnyDesk، Discord، FileZilla، Signal، Skype، Steam و Telegram میشود.
استخراج فایلها
بدافزار Fickle Stealer برای استخراج فایلهایی با پسوندهای زیر طراحی شده است:
- .txt
- .kdbx
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
- .odt
- .odp
- .wallet.dat
عبور از UAC و استخراج اطلاعات
یکی از ویژگیهای مهم این بدافزار توانایی جستجوی فایلهای حساس در دایرکتوریهای معمول نصب برنامهها برای جمعآوری جامع دادههاست. این بدافزار همچنین از سرور خود یک لیست هدف دریافت میکند که آن را منعطفتر میکند.
بدافزار AZStealer: تهدیدی دیگر
در همین حین، Symantec جزئیاتی از بدافزار متنباز AZStealer که با زبان Python نوشته شده و قابلیت سرقت انواع مختلف اطلاعات را دارد، فاش کرده است. این بدافزار که در GitHub در دسترس است، به عنوان بهترین سرقتکننده ناشناس Discord معرفی شده است.
نتیجهگیری
همانطور که بدافزارهای جدید مانند Fickle Stealer و AZStealer ظهور میکنند، اهمیت امنیت سایبری بیش از پیش احساس میشود. حفاظت از اطلاعات حساس و رعایت نکات امنیتی در مقابل این تهدیدات ضروری است.