بدافزار Fickle Stealer چه نوع فایلهایی را هدف قرار میدهد؟

بدافزار Fickle Stealer برای استخراج فایلهایی با پسوندهای .txt، .kdbx، .pdf، .doc، .docx، .xls، .xlsx، .ppt، .pptx، .odt، .odp، و .wallet.dat طراحی شده است. این بدافزار اطلاعات حساس را از کیفپولهای ارزهای دیجیتال، مرورگرهای وب مبتنی بر Chromium و Gecko، و برنامههایی مانند AnyDesk، Discord، FileZilla، Signal، Skype، Steam و Telegram جمعآوری میکند.

روشهای توزیع بدافزار Fickle Stealer شامل چه مواردی است؟

آزمایشگاههای Fortinet FortiGuard چهار روش مختلف برای توزیع بدافزار Fickle Stealer شناسایی کردهاند که شامل VBA Dropper، VBA Downloader، Link Downloader، و Executable Downloader میشود. برخی از این روشها از اسکریپت PowerShell برای عبور از کنترل حساب کاربری (UAC) و اجرای بدافزار استفاده میکنند.

بلاگ

امنیتی

بدافزار جدید Fickle Stealer: تهدیدی جدید با استفاده از PowerShell

ارسال توسط

Reza

در تیر 1, 1403

0 دیدگاه

مقدمه

بدافزار جدیدی به نام Fickle Stealer که بر پایه زبان برنامه‌نویسی Rust نوشته شده است، توانسته با استفاده از PowerShell برای عبور از کنترل حساب کاربری (UAC) و استخراج اطلاعات حساس از سیستم‌های آلوده، خود را مطرح کند. این بدافزار با چندین روش توزیع مختلف، اطلاعات حساس را هدف قرار می‌دهد.

روش‌های توزیع بدافزار Fickle Stealer

آزمایشگاه‌های Fortinet FortiGuard اعلام کرده‌اند که چهار روش مختلف برای توزیع این بدافزار شناسایی شده است:

VBA Dropper
VBA Downloader
Link Downloader
Executable Downloader

برخی از این روش‌ها از اسکریپت PowerShell برای عبور از UAC و اجرای Fickle Stealer استفاده می‌کنند.

عملکرد اسکریپت PowerShell

اسکریپت PowerShell با نام‌های “bypass.ps1” یا “u.ps1” طراحی شده تا به‌صورت دوره‌ای اطلاعات قربانی مانند کشور، شهر، آدرس IP، نسخه سیستم عامل، نام کامپیوتر و نام کاربری را به یک بات تلگرام که تحت کنترل مهاجم است، ارسال کند.

جمع‌آوری اطلاعات توسط بدافزار Fickle Stealer

این بدافزار با استفاده از تکنیک‌های پیچیده‌ای مانند ضد تحلیل، بررسی می‌کند که آیا در یک محیط شبیه‌سازی یا مجازی اجرا می‌شود یا خیر. سپس به یک سرور راه دور متصل شده و اطلاعات جمع‌آوری شده را به صورت رشته‌های JSON ارسال می‌کند.

این اطلاعات شامل داده‌های حساس از کیف‌پول‌های ارزهای دیجیتال، مرورگرهای وب مبتنی بر Chromium و موتور مرورگر Gecko (مانند Google Chrome، Microsoft Edge، Brave، Vivaldi و Mozilla Firefox)، و همچنین برنامه‌هایی مانند AnyDesk، Discord، FileZilla، Signal، Skype، Steam و Telegram می‌شود.

استخراج فایل‌ها

بدافزار Fickle Stealer برای استخراج فایل‌هایی با پسوندهای زیر طراحی شده است:

.txt
.kdbx
.pdf
.doc
.docx
.xls
.xlsx
.ppt
.pptx
.odt
.odp
.wallet.dat

عبور از UAC و استخراج اطلاعات

یکی از ویژگی‌های مهم این بدافزار توانایی جستجوی فایل‌های حساس در دایرکتوری‌های معمول نصب برنامه‌ها برای جمع‌آوری جامع داده‌هاست. این بدافزار همچنین از سرور خود یک لیست هدف دریافت می‌کند که آن را منعطف‌تر می‌کند.

بدافزار AZStealer: تهدیدی دیگر

در همین حین، Symantec جزئیاتی از بدافزار متن‌باز AZStealer که با زبان Python نوشته شده و قابلیت سرقت انواع مختلف اطلاعات را دارد، فاش کرده است. این بدافزار که در GitHub در دسترس است، به عنوان بهترین سرقت‌کننده ناشناس Discord معرفی شده است.

نتیجه‌گیری

همان‌طور که بدافزارهای جدید مانند Fickle Stealer و AZStealer ظهور می‌کنند، اهمیت امنیت سایبری بیش از پیش احساس می‌شود. حفاظت از اطلاعات حساس و رعایت نکات امنیتی در مقابل این تهدیدات ضروری است.

در دنیای امروز که تهدیدات سایبری هر روز پیچیده‌تر و متنوع‌تر می‌شوند، داشتن یک آنتی‌ویروس قدرتمند و قابل اعتماد مانند نود 32 ضروری است. با خرید لایسنس نود 32، از حفاظت کامل در برابر ویروس‌ها، بدافزارها و حملات فیشینگ بهره‌مند شوید. این نرم‌افزار با به‌روزرسانی‌های منظم و مداوم، عملکرد سریع و بدون کاهش سرعت سیستم، و پشتیبانی فنی حرفه‌ای، امنیت دیجیتال شما را تضمین می‌کند. پس همین حالا اقدام کنید و با خرید لایسنس نود 32، آرامش خاطر و امنیت سیستم خود را تأمین کنید.