Un logiciel malveillant capricieux permet de contourner l'UAC et d'exfiltrer des données
Un nouveau logiciel malveillant basé sur Rust, appelé Fickle Stealer, est apparu, ciblant les informations sensibles par le biais de multiples vecteurs d'attaque. Fortinet FortiGuard Labs rapporte que le malware Fickle est distribué via quatre méthodes principales : VBA dropper, VBA downloader, link downloader et executable downloader. Certaines de ces méthodes utilisent un script PowerShell pour contourner le contrôle des comptes utilisateurs (UAC) et déployer le malware.
Exploitation des scripts PowerShell
Le script PowerShell, identifié comme "bypass.ps1" ou "u.ps1", ne se contente pas de contourner l'UAC, mais collecte et transmet également des informations sur la victime. Le script envoie des données telles que le pays, la ville, l'adresse IP, la version du système d'exploitation, le nom de l'ordinateur et le nom d'utilisateur de la victime à un bot Telegram contrôlé par l'attaquant. Cette méthode permet à l'attaquant de rester informé de l'état et de l'emplacement des systèmes compromis.
Logiciels malveillants capricieux - Exécution furtive et exfiltration de données
Selon des rapports récents, le logiciel malveillant Fickle utilise un packer pour protéger sa charge utile, en exécutant plusieurs contrôles anti-analyse pour éviter la détection dans des environnements de bac à sable ou de machines virtuelles. Une fois ces contrôles passés, le logiciel malveillant communique avec un serveur distant, envoyant les données récoltées sous forme de chaînes JSON. Le logiciel malveillant cible des informations provenant de diverses sources, notamment des portefeuilles de crypto-monnaie, des navigateurs web tels que Google Chrome, Microsoft Edge, Brave, Vivaldi et Mozilla Firefox, ainsi que des applications telles que AnyDesk, Discord, FileZilla, Signal, Skype, Steam et Telegram.
Analyse des logiciels malveillants Rust
Le chercheur en sécurité Pei Han Liao note que Fickle Stealer ne se contente pas de cibler des applications populaires, mais qu'il recherche également des fichiers sensibles dans des répertoires couramment utilisés pour l'installation de logiciels. Le logiciel malveillant peut exporter des fichiers avec des extensions telles que .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp et wallet.dat. Cette vaste collecte de données garantit l'exfiltration d'un large éventail d'informations précieuses.
Techniques d'attaque avancées
Les méthodes de déploiement de Fickle Stealer sont sophistiquées. Les attaquants téléchargent un script PowerShell pour configurer le logiciel malveillant, en utilisant parfois un fichier supplémentaire pour faciliter le téléchargement. L'objectif principal du script est de contourner l'UAC et d'exécuter le logiciel malveillant. Le script planifie également une tâche pour exécuter un autre script, engine.ps1, après un certain délai, qui utilise à la fois des fichiers WmiMgmt.msc légitimes et faux pour maintenir la furtivité. Cette technique, connue sous le nom de Mock Trusted Directories, permet au logiciel malveillant de s'exécuter avec des privilèges élevés sans déclencher d'invite UAC.
Communication et mises à jour constantes
Les scripts PowerShell, notamment u.ps1, engine.ps1 et inject.ps1, envoient fréquemment des mises à jour d'état à l'attaquant via un bot Telegram. Ces scripts téléchargent et exécutent tgmes.ps1 avec chaque message, qui est stocké temporairement et supprimé après exécution. Le logiciel malveillant de vol d'informations envoie continuellement des détails sur les victimes à l'attaquant, ce qui lui permet de rester informé et de mettre à jour l'attaque si nécessaire.
Menaces similaires
La découverte du logiciel malveillant Fickle s'accompagne de révélations sur AZStealer, un voleur d'informations open-source basé sur Python. Disponible sur GitHub, AZStealer a été présenté comme un voleur de Discord très efficace. Il infiltre les informations volées en les zippant et en les envoyant par l'intermédiaire des webhooks de Discord ou en les téléchargeant sur Gofile avant de les transmettre.
Conclusion
Le logiciel malveillant rust illustre la sophistication croissante des logiciels malveillants, qui utilisent de multiples vecteurs d'attaque et des techniques avancées pour collecter des informations sensibles tout en échappant à la détection. Les mises à jour permanentes et les listes de cibles flexibles en font une menace persistante, soulignant la nécessité de mesures de cybersécurité robustes et d'une surveillance vigilante pour se protéger contre des menaces aussi complexes.
Les sources de cet article comprennent des articles publiés dans The Hacker News et Security Affairs.