استفاده بدافزار Fickle Stealer از Rust تجزیه و تحلیل آن را دشوار کرده است.
بدافزار Fickle Stealer یک بدافزار پیچیده است که به زبان Rust نوشته شده است و به عنوان یک تهدید مهم برای کاربران ویندوز شناخته می شود.
بدافزار Fickle Stealer که ابتدا در می 2024 شناسایی شد، از ویژگیهای امنیتی Rust استفاده میکند. همین امر شناسایی و تجزیه و تحلیل آن را برای محققان چالش برانگیز کرده است.
این بدافزار از چندین متد؛ از جمله دانلود کردن فایل های اجرایی، برای استخراج طیف گسترده ای از اطلاعات حساس سیستم های آلوده استفاده می کند. زنجیره حمله بدافزار Fickle Stealer به سه قسمت اصلی تقسیم میشود: تحویل، آمادهسازی و سرقت.
-
تحویل
بدافزار Fickle Stealer از چهار روش برای تحویل اولیه استفاده می کند:
VBA Dropper: یک فایل XML مخرب را در شی User Form سند Word برای اجرای دانلود، جاسازی می کند.
دانلودر VBA: اسکریپت های PowerShell را مستقیماً دانلود کرده یا از تاکتیک هایی برای جلوگیری از شناسایی استفاده می کند.
Link Downloader: به طور مستقیم یک اسکریپت PowerShell را دانلود و اجرا می کند.
دانلودر اجرایی: یک فایل اجرایی Dot Net که به عنوان یک نمایشگر PDF مبدل شده است.
-
آمادهسازی
بدافزار Fickle Stealer از اسکریپت های PowerShell (u.ps1 و bypass.ps1) برای دور زدن کنترل حساب کاربری (UAC) و تنظیم محیط برای هکر استفاده می کند. این اسکریپتها وظایفی را برای اطمینان از اجرا ایجاد میکنند و از تکنیکهایی برای اجرای با دسترسی های بالا بدون درخواست از UAC استفاده میکنند.
-
سرقت
بدافزار Fickle Stealer که توسط یک پک سفارشی محافظت میشود، چندین عملیات برای مقابله با تجزیه و تحلیل خود از جمله مقایسه نام فرآیند و بررسی محیطهای مجازی را انجام میدهد. پس از فعال شدن، دادههای زیر را میدزدد:
- اطلاعات ذخیره شده در مرورگرها ازجمله کوکی ها، اعتبارنامه ها و سشن ها
- کیف پول های ارز دیجیتال
- اطلاعات سیستم هدف
- فایل هایی با پسوندهای خاص
جزئیات فنی
استفاده بدافزار Fickle Stealer از Rust و کدهای پیچیده؛ تجزیه و تحلیل آن را دشوارتر می کند. عملکردهای کلیدی بدافزار Fickle Stealer عبارتند از:
Keylogging: برای جمع آوری اطلاعات حساس، ضربه های کلید را ضبط می کند.
Process Injection: کدی را به فرآیندهای در حال اجرا تزریق می کند تا از شناسایی جلوگیری کند.
Exfiltration: داده های جمع آوری شده را با استفاده از ارتباطات رمزگذاری شده به سرورهای فرمان و کنترل (C2C) ارسال می کند.
IP Addresses:
- 144[.]208[.]127[.]230
- 185[.]213[.]208[.]245
- 138[.]124[.]184[.]210
SHA-256 Hashes:
-
- 1b48ee91e58f319a27f29d4f3bb62e62cac34779ddc3b95a0127e67f2e141e59
- ad57cc0508d3550caa65fcb9ee349c4578610970c57a26b7a07a8be4c8b9bed9
- 8e87ab1bb9870de9de4a7b409ec9baf8cae11deec49a8b7a5f73d0f34bea7e6f
- 9ffc6a74b88b66dd269d006dec91b8b53d51afd516fe2326c6f9e3ed81d860ae
- 48e2b9a7b8027bd03ceb611bbfe48a8a09ec6657dd5f2385fc7a75849bb14db1
- 011992cfa6abaeb71d0bb6fc05f1b5623b5e710c8c711bca961bf99d0e4cae38
- 5fbd700bd77d3f632ba6ce148281c74a20391a40c7984f108f63a20dc442f8d6
- d9dcae235891f206d1baabfcbd79cb80337b5e462adef9516b94efc696b596b7
- 46caee016da4b460f7c242e19a88e8dc7544ded7d2528b0b9e918a7be64b5ceb
- b05736874d383ed2e8dcc9d392f2c04e0fd545b8880620499d720c44adb18822
- 70363b97f955e5d30fb8d3a8d2a439303f88707420c05f051f87e0458fdfffc2
- 62ff72aa8a8c5bccdf6c789952ee054a0d0d479e417fa20ea73a936e17bdf043
- effb85aaef61cd8918d66513da1573365be2743ec263be4029a6b827e3ecc1c6
- b57caa40f680d468bbf811e798ef9881d6158fb3462dd9bedb4658d17aed44a5
- e9bc44cf548a70e7285499209973faf44b7374dece1413dfcdc03bf25a6c599c
- a641d10798be5224c8c32dfaab0dd353cd7bb06a2d57d9630e13fb1975d03a53
- 9ce52929765433ff8bf905764d7b83c4c3fcbefb4f12eabcf16ee3dddcd3759d
کاهش خطرات ناشی از بدافزار Fickle Stealer
توصیه های امنیتی زیر به کاهش خطرات ناشی از این بدافزار کمک میکند :
امنیت ایمیل: به کاربران آموزش دهید تا ایمیل های فیشینگ را تشخیص دهند و از فعال کردن ماکروها از منابع نامعتبر خودداری کنند.
محافظت از کاربران نهایی: از راه حل های تشخیص و پاسخ نقطه پایانی (EDR) برای نظارت و کاهش فعالیت های مشکوک استفاده کنید.
بروز رسانی های منظم: اطمینان حاصل کنید که همه سیستم ها و نرم افزارها با آخرین بسته های امنیتی بروز شده اند.
نتیجه گیری
بدافزار Fickle Stealer به دلیل مکانیسم های پیشرفته تحویل و تکنیک های فرار قوی، یک تهدید قابل توجه است. نظارت مستمر و به کارگیری راه حل های امنیتی جامع برای محافظت در برابر چنین تهدیداتی بسیار مهم است.
پیش تر مقاله ای در مورد کی لاگرها Key Loggers در سایت قرار داده شده است که در لینک زیر میتوانید آن را مطالعه بفرمایید:
منابع:
Cybersecsentinel
Fortinet
Tomshardware
خیلی عالی بود خسته نباشید