ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Непостоянный похититель, распространяемый по цепочке из нескольких атак

Недавно в лаборатории FortiGuard Labs был обнаружен Fickle Stealer, программа для кражи данных на основе Rust, распространяемая различными способами, в основном с использованием VBA-дропперов, VBA-загрузчиков, загрузчиков ссылок и загрузчиков исполняемых файлов. Программа stealer предназначена для загрузки и выполнения скрипта PowerShell, который помещает программу Fickle Stealer во временную папку и запускает ее. Скрипт также собирает конфиденциальную информацию из системы жертвы и отправляет ее боту Telegram. Программа-похититель защищена пакетом, который маскирует ее под легальный исполняемый файл, что затрудняет ее обнаружение с использованием определенных правил обнаружения. Программа-похититель Fickle создает мьютекс, выполняет проверку против анализа и завершает текущий процесс, если он анализируется. Он отправляет украденные данные на сервер в определенном формате JSON, который включает имя файла, заголовок и основную часть украденных данных. Имя похитителя содержит строку, уникальную для компьютера жертвы.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.fortinet.com/blog/threat-research/fickle-stealer-distributed-via-multiple-attack-chain

Выборочные показатели Compromise:

• 346e18b7ce2e3c3c5412dacdc8034a7566dee12ea0aafc6b82f196dcba2453f8
• 09b47fd0e1fcab827d1a723f9db7e402502ec91e57b7217ed85094abd98bc637
• 7034d351ce835d4905064d2b3f14adb605374a4a6885c23390db9eddd42add86
• f080d7803ce1a1b9dc72da6ddf0dd17e23eb8227c497f09aa7dfd6f3b5be3a66
• 26fa0ccc5c7b7733ee6ffc2c70edef067b6764387ef1b16cb8005f28c34a3d84

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал