Nuevo malware volátil basado en Rust utiliza PowerShell para eludir el UAC y exfiltrar datos

Fortinet FortiGuard Labs ha identificado un nuevo malware llamado Fickle Stealer, que se basa en Rust y se propaga a través de varios métodos de distribución para recopilar datos sensibles de los sistemas comprometidos.

El malware se distribuye a través de cuatro métodos distintos: VBA dropper, VBA downloader, link downloader y executable downloader, algunos de los cuales utilizan un script de PowerShell para sortear el Control de Cuentas de Usuario (UAC) y ejecutar Fickle Stealer.

El script de PowerShellbypass.ps1» o «u.ps1«) envía información sobre la víctima, como país, ciudad, dirección IP, versión del sistema operativo, nombre de la computadora y nombre de usuario, a un bot de Telegram controlado por el atacante.

La carga útil del stealer, protegida por un packer, realiza comprobaciones anti-análisis para identificar si se ejecuta en un entorno de sandbox o una máquina virtual, y luego envía señales a un servidor remoto para extraer datos en forma de cadenas JSON.

Fickle Stealer está diseñado para recopilar información de monederos criptográficos, navegadores web basados en Chromium y el motor de navegación Gecko, como Google Chrome, Microsoft Edge, Brave, Vivaldi y Mozilla Firefox, así como aplicaciones como AnyDesk, Discord, FileZilla, Signal, Skype, Steam y Telegram.

También está programado para exportar archivos con extensiones .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp y wallet.dat.

El investigador de seguridad Pei Han Liao comentó: «Además de algunas aplicaciones populares, este stealer busca archivos sensibles en directorios padres de directorios de instalación comunes para asegurar una recolección exhaustiva de datos. También recibe una lista de objetivos del servidor, lo que hace que Fickle Stealer sea más flexible».

Este descubrimiento se da después de que Symantec revelara detalles sobre un stealer de Python de código abierto llamado AZStealer, que tiene la capacidad de robar una amplia variedad de información y ha sido promocionado como el «mejor stealer de Discord indetectable«.

Según Broadcom, la empresa propietaria de Symantec, «toda la información robada se comprime y, dependiendo del tamaño del archivo, se extrae directamente a través de enlaces web de Discord o se sube primero a un almacenamiento de archivos en línea de Gofile y luego se extrae a través de Discord. AZStealer también intentará robar archivos de documentos con extensiones objetivas predefinidas o aquellos que tengan palabras clave específicas como contraseña, billetera, copia de seguridad, etc. en el nombre del archivo».

Vía The Hacker News