Fickle Stealer:一款新的信息软件,仔细梳理了浏览器、Steam、Discord 和 Telegram

阅读量63974

发布时间 : 2024-06-21 19:56:59

网络安全研究人员发现了一种名为 Fickle Stealer 的新恶意软件,它是用Rust编程语言开发的。该程序旨在从受感染的设备窃取机密信息。

Fortinet 的专家确定了 四种分发 Fickle Stealer 的方法:VBA dropper、VBA downloader、link downloader 和executable downloader。其中一些使用 PowerShell 脚本绕过用户帐户控制 (UAC) 并启动恶意软件。

名为“bypass.ps1”或“u.ps1”的 PowerShell 脚本还旨在定期向 Telegram 机器人发送有关受害者的信息,包括国家、城市、IP 地址、操作系统版本、计算机名称和用户名。由攻击者。

Fickle Stealer 恶意软件受到包装器的保护,会执行一系列检查来检测沙箱或虚拟机,然后以 JSON 格式将数据发送到远程服务器。

Fickle Stealer 从加密钱包、基于 Chromium 和 Gecko 的网络浏览器(Google Chrome、Microsoft Edge、Brave、Vivaldi 和 Mozilla Firefox)以及 AnyDesk、Discord、FileZilla、Signal、Skype、Steam 和 Telegram 应用程序收集信息。该程序还导出扩展名为 txt、kdbx、pdf、doc、docx、xls、xlsx、ppt、pptx、odt、odp 和 wallet.dat 的文件。

“除了流行的应用程序之外,该信息软件还会在共享安装目录的父目录中搜索敏感文件,以确保全面的数据收集,”安全研究员 Pei Han Liao 指出。 “它还会从服务器中提取目标列表,这使得 Fickle Stealer 更加灵活。”

此外,博通旗下的 赛门铁克最近披露了 另一种名为 AZStealer 的恶意软件的详细信息。它基于Python,还收集了广泛的信息。 AZStealer 可 在 GitHub 上使用,并被宣传为“最佳的无法检测的 Discord 窃贼”。

“所有被盗信息都会被存档,并根据存档的大小直接通过 Discord Webhook 泄露。或者它首先上传到 Gofile 在线存储,然后通过 Discord,”研究人员报告道。

“AZStealer 还尝试窃取具有预定义扩展名或包含“密码”、“钱包”、“备份”等关键字的文档。在文件名中。”

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/549395.php

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66