Nieuwe, op roest gebaseerde, wispelturige malware gebruikt PowerShell voor UAC-bypass en gegevensexfiltratie

Een nieuwe op Rust gebaseerde informatiesteler-malware genaamd Wispelturige dief Er is waargenomen dat deze via meerdere aanvalsketens wordt geleverd met als doel gevoelige informatie van gecompromitteerde hosts te verzamelen.

Fortinet FortiGuard Labs zei dat het op de hoogte is van vier verschillende distributiemethoden – namelijk VBA dropper, VBA downloader, link downloader en uitvoerbare downloader – waarbij sommige een PowerShell-script gebruiken om User Account Control (UAC) te omzeilen en Fickle Stealer uit te voeren.

Het PowerShell-script (“bypass.ps1” of “u.ps1”) is ook ontworpen om periodiek informatie over het slachtoffer, inclusief land, stad, IP-adres, versie van het besturingssysteem, computernaam en gebruikersnaam, naar een Telegram-bot te sturen die wordt beheerd door de aanvaller.

De stealer-payload, die wordt beschermd met een packer, voert een reeks anti-analysecontroles uit om te bepalen of deze in een sandbox- of virtuele-machineomgeving draait, waarna deze naar een externe server wordt gestuurd om gegevens in de vorm van JSON te exfiltreren snaren.

Fickle Stealer verschilt niet van andere varianten doordat het is ontworpen om informatie te verzamelen uit crypto-wallets, webbrowsers die worden aangedreven door Chromium en de Gecko-browserengine (dwz Google Chrome, Microsoft Edge, Brave, Vivaldi en Mozilla Firefox) en applicaties zoals AnyDesk, Discord, FileZilla, Signal, Skype, Steam en Telegram.

Het is ook ontworpen om bestanden te exporteren die overeenkomen met de extensies .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp en wallet.dat.

UAC-bypass en gegevensexfiltratie

“Naast enkele populaire applicaties doorzoekt deze stealer ook gevoelige bestanden in bovenliggende mappen van algemene installatiemappen om uitgebreide gegevensverzameling te garanderen”, aldus beveiligingsonderzoeker Pei Han Liao. “Het ontvangt ook een doellijst van de server, wat Fickle Stealer flexibeler maakt.”

De onthulling komt op het moment dat Symantec details heeft bekendgemaakt van een open-source Python-stealer genaamd AZStealer, die wordt geleverd met de functionaliteit om een ​​grote verscheidenheid aan informatie te stelen. Het is beschikbaar op GitHub en wordt geadverteerd als de “beste onopgemerkte Discord-stealer.”

“Alle gestolen informatie wordt gecomprimeerd en, afhankelijk van de grootte van het archief, rechtstreeks geëxfiltreerd via Discord-webhooks of eerst geüpload naar de online bestandsopslag van Gofile en daarna geëxfiltreerd via Discord”, aldus het bedrijf dat eigendom is van Broadcom.

“AZStealer zal ook proberen documentbestanden te stelen met vooraf gedefinieerde gerichte extensies of bestanden met specifieke trefwoorden zoals wachtwoord, portemonnee, back-up, enz. in de bestandsnaam.”

Thijs Van der Does