Új Rust-alapú kártevő a PowerShellt használja az UAC megkerülésére

A Fortinet FortiGuard Labs egy új, Rust nyelven írt, Fickle Stealer nevű információlopó malware-t azonosított. Ez a kártevő többféle módszerrel terjed, többek között VBA dropper, VBA downloader, link letöltő és végrehajtható fájl letöltő segítségével. Egyes módszerek PowerShell szkriptet használnak a felhasználói fiókvezérlés (UAC) megkerülésére és a Fickle Stealer futtatására. A “bypass.ps1” vagy “u.ps1” nevű szkript időszakos információkat küld az áldozat tartózkodási helyéről és rendszeradatairól egy, a támadó által irányított Telegram botnak.

A Fickle Stealer elemzések elleni ellenőrzéseket végez, hogy elkerülje a felismerést homokozó vagy virtuális gépi környezetben. Ha már aktív, a kriptotárcák, webböngészők, például a Google Chrome, Microsoft Edge, Brave, Vivaldi, Mozilla Firefox és olyan alkalmazások, mint az AnyDesk, Discord, FileZilla, Signal, Skype, Steam és Telegram érzékeny adatait veszi célba. A program a gyakori telepítési könyvtárakban is keres bizonyos kiterjesztésű fájlokat (.txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp és wallet.dat). Ez a kártevő JSON formátumban szivárogtatja ki az adatokat egy távoli kiszolgálóra. Ez a felfedezés a Symantec egy másik lopó, az AZStealer felfedezését követi, amely Discord webhooks vagy Gofile segítségével szivárogtatja ki az adatokat.

(forrás)