By | 11 مهر 1403
بدافزار Fickle Stealer

استفاده بدافزار Fickle Stealer از Rust تجزیه و تحلیل آن را دشوار کرده است.

بدافزار Fickle Stealer یک بدافزار پیچیده است که به زبان Rust نوشته شده است و به عنوان یک تهدید مهم برای کاربران ویندوز شناخته می شود.

بدافزار Fickle Stealer که ابتدا در می 2024 شناسایی شد، از ویژگی‌های امنیتی Rust استفاده می‌کند. همین امر شناسایی و تجزیه و تحلیل آن را برای محققان چالش برانگیز کرده است.

بدافزار Fickle Stealer

این بدافزار از چندین متد؛ از جمله دانلود کردن فایل های اجرایی، برای استخراج طیف گسترده ای از اطلاعات حساس سیستم های آلوده استفاده می کند. زنجیره حمله بدافزار Fickle Stealer به سه قسمت اصلی تقسیم می‌شود: تحویل، آماده‌سازی و سرقت.

  1. تحویل

بدافزار Fickle Stealer از چهار روش برای تحویل اولیه استفاده می کند:

VBA Dropper: یک فایل XML مخرب را در شی User Form سند Word برای اجرای دانلود، جاسازی می کند.

دانلودر VBA: اسکریپت های PowerShell را مستقیماً دانلود کرده یا از تاکتیک هایی برای جلوگیری از شناسایی استفاده می کند.

Link Downloader: به طور مستقیم یک اسکریپت PowerShell را دانلود و اجرا می کند.

دانلودر اجرایی: یک فایل اجرایی Dot Net که به عنوان یک نمایشگر PDF مبدل شده است.

  1. آماده‌سازی

بدافزار Fickle Stealer از اسکریپت های PowerShell (u.ps1 و bypass.ps1) برای دور زدن کنترل حساب کاربری (UAC) و تنظیم محیط برای هکر استفاده می کند. این اسکریپت‌ها وظایفی را برای اطمینان از اجرا ایجاد می‌کنند و از تکنیک‌هایی برای اجرای با دسترسی های بالا بدون درخواست از UAC استفاده می‌کنند.

بدافزار Fickle Stealer

  1. سرقت

بدافزار Fickle Stealer که توسط یک پک سفارشی محافظت می‌شود، چندین عملیات برای  مقابله با تجزیه و تحلیل خود از جمله مقایسه نام فرآیند و بررسی محیط‌های مجازی را انجام می‌دهد. پس از فعال شدن، داده‌های زیر را می‌دزدد:

  • اطلاعات ذخیره شده در مرورگرها ازجمله کوکی ها، اعتبارنامه ها و سشن ها
  • کیف پول های ارز دیجیتال
  • اطلاعات سیستم هدف
  • فایل هایی با پسوندهای خاص

بدافزار Fickle Stealer

جزئیات فنی

استفاده بدافزار Fickle Stealer از Rust و کدهای پیچیده؛ تجزیه و تحلیل آن را دشوارتر می کند. عملکردهای کلیدی بدافزار Fickle Stealer عبارتند از:

Keylogging: برای جمع آوری اطلاعات حساس، ضربه های کلید را ضبط می کند.

Process Injection: کدی را به فرآیندهای در حال اجرا تزریق می کند تا از شناسایی جلوگیری کند.

Exfiltration: داده های جمع آوری شده را با استفاده از ارتباطات رمزگذاری شده به سرورهای فرمان و کنترل (C2C) ارسال می کند.

بدافزار Fickle Stealer

IP Addresses:

  • 144[.]208[.]127[.]230
  • 185[.]213[.]208[.]245
  • 138[.]124[.]184[.]210

 

SHA-256 Hashes:

    • 1b48ee91e58f319a27f29d4f3bb62e62cac34779ddc3b95a0127e67f2e141e59
    • ad57cc0508d3550caa65fcb9ee349c4578610970c57a26b7a07a8be4c8b9bed9
    • 8e87ab1bb9870de9de4a7b409ec9baf8cae11deec49a8b7a5f73d0f34bea7e6f
    • 9ffc6a74b88b66dd269d006dec91b8b53d51afd516fe2326c6f9e3ed81d860ae
    • 48e2b9a7b8027bd03ceb611bbfe48a8a09ec6657dd5f2385fc7a75849bb14db1
    • 011992cfa6abaeb71d0bb6fc05f1b5623b5e710c8c711bca961bf99d0e4cae38
    • 5fbd700bd77d3f632ba6ce148281c74a20391a40c7984f108f63a20dc442f8d6
    • d9dcae235891f206d1baabfcbd79cb80337b5e462adef9516b94efc696b596b7
    • 46caee016da4b460f7c242e19a88e8dc7544ded7d2528b0b9e918a7be64b5ceb
    • b05736874d383ed2e8dcc9d392f2c04e0fd545b8880620499d720c44adb18822
    • 70363b97f955e5d30fb8d3a8d2a439303f88707420c05f051f87e0458fdfffc2
    • 62ff72aa8a8c5bccdf6c789952ee054a0d0d479e417fa20ea73a936e17bdf043
    • effb85aaef61cd8918d66513da1573365be2743ec263be4029a6b827e3ecc1c6
    • b57caa40f680d468bbf811e798ef9881d6158fb3462dd9bedb4658d17aed44a5
    • e9bc44cf548a70e7285499209973faf44b7374dece1413dfcdc03bf25a6c599c
    • a641d10798be5224c8c32dfaab0dd353cd7bb06a2d57d9630e13fb1975d03a53
    • 9ce52929765433ff8bf905764d7b83c4c3fcbefb4f12eabcf16ee3dddcd3759d

بدافزار Fickle Stealer

کاهش خطرات ناشی از بدافزار Fickle Stealer

توصیه های امنیتی زیر به کاهش خطرات ناشی از این بدافزار کمک میکند :

امنیت ایمیل: به کاربران آموزش دهید تا ایمیل های فیشینگ را تشخیص دهند و از فعال کردن ماکروها از منابع نامعتبر خودداری کنند.

محافظت از کاربران نهایی: از راه حل های تشخیص و پاسخ نقطه پایانی (EDR) برای نظارت و کاهش فعالیت های مشکوک استفاده کنید.

بروز رسانی های منظم: اطمینان حاصل کنید که همه سیستم ها و نرم افزارها با آخرین بسته های امنیتی بروز شده اند.

نتیجه گیری

بدافزار Fickle Stealer به دلیل مکانیسم های پیشرفته تحویل و تکنیک های فرار قوی، یک تهدید قابل توجه است. نظارت مستمر و به کارگیری راه حل های امنیتی جامع برای محافظت در برابر چنین تهدیداتی بسیار مهم است.

پیش تر مقاله ای در مورد کی لاگرها Key Loggers در سایت قرار داده شده است که در لینک زیر میتوانید آن را مطالعه بفرمایید:

کی لاگر Keylogger

 

 

منابع:

Cybersecsentinel

Fortinet

Tomshardware

One Reply to “بدافزار Fickle Stealer”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *