Fickle Stealer, il nuovo malware Rust prende di mira Microsoft Windows

Nel panorama delle minacce informatiche, un nuovo malware si sta facendo strada con una strategia di attacco particolarmente insidiosa. Si tratta di Fickle Stealer, un malware basato sul linguaggio di programmazione Rust, noto per le sue prestazioni e affidabilità.

Recentemente, FortiGuard Labs ha osservato una campagna di attacchi che utilizza Fickle Stealer, distribuito attraverso diversi metodi che rendono difficile la sua identificazione e classificazione.

Le fasi della catena d’attacco

La catena di attacco può essere suddivisa in tre fasi principali: consegna, lavoro preparatorio e payload del packer e dello stealer.

Fonte FortiGuard

Fase 1
Il malware viene consegnato attraverso diversi metodi, tra cui:

  • VBA Dropper: Un documento Word con macro VBA carica un file XML codificato e esegue uno script che deposita Fickle Stealer nella cartella Temp e lo esegue.
  • VBA Downloader: Esistono tre varianti di downloader VBA, tutti basati su documenti Word. Il primo scarica direttamente lo script PowerShell u.ps1, mentre il secondo utilizza forfiles.exe per eludere i limiti di rilevamento di cmd. Il terzo downloader sfrutta un controllo del browser web per caricare uno script da un file MSHTML su un server.
  • Link Downloader: Scarica direttamente bypass.ps1, uno script PowerShell.
  • Executable Downloader: Un eseguibile DotNet mascherato da visualizzatore PDF.

Fase 2
Una volta consegnato, Fickle Stealer esegue diversi script progettati per eludere il Controllo dell’Account Utente (UAC) e preparare l’ambiente per il payload principale.

Fase 3
L’ultima fase coinvolge il disimballaggio e l’esecuzione del payload dello stealer, progettato per esfiltrare informazioni sensibili su di un server remoto sotto forma di stringhe JSON ed evitando il rilevamento.

In conclusione

Fickle Stealer rappresenta un’aggiunta preoccupante alla lista sempre crescente di minacce informatiche. La sua catena di attacchi multipla, le tattiche in evoluzione e l’adattabilità lo rendono una minaccia significativa. Per proteggersi, è essenziale mantenere aggiornati i sistemi di sicurezza e adottare una vigilanza costante contro queste minacce in continua evoluzione.

Fickle Stealer è progettato per raccogliere informazioni da wallet crittografici, browser Web basati su Chromium, applicazioni come AnyDesk, Discord, FileZilla, Signal, Skype e Telegram ed esportare file con estensioni .txt, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx e .odt.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.