New Rust-based Fickle Malware Uses PowerShell for UAC Bypass and Data Exfiltration
2024/06/20 TheHackerNews — Fickle Stealer という Rust ベースの新しい情報窃取マルウェアが、複数の攻撃チェーンを介して配信されて、侵害したホストから機密情報を採取している。Fortinet FortiGuard Labs によると、VBA ドロッパー/VBA ダウンローダー/リンク・ダウンローダー、実行型ファイル・ダウンローダーという4種類の配布形態が確認されており、その中には PowerShell スクリプトを使用して、ユーザー・アカウント制御 (UAC:User Account Control) をバイパスし、Fickle Stealer を実行するものもあるという。
また、”bypass.ps1″/”u.ps1″ などの PowerShell スクリプト は、被害者から窃取した情報である、国名/都市名/IP アドレス/OS バージョン/コンピュータ名/ユーザー名などを、攻撃者がコントロールする Telegram ボットに定期的に送信するよう設計されている。
パッカーで保護される Fickle Stealer のペイロードは、自身がサンドボックスや仮想マシン環境で実行されているかどうかを判断するために、一連のアンチ解析チェックを実行する。続いて、JSON 文字列の形でデータを流出させるために、リモート・サーバへ向けてビーコンを発信する。
Fickle Stealer は、暗号ウォレットや、Chromium/Gecko ブラウザ・エンジンを搭載した Web ブラウザや、アプリケーションから情報を収集するように設計されている。具体的な攻撃対象は、Google Chrome/Microsoft Edge/Brave/Vivaldi/Mozilla Firefox および、AnyDesk/Discord/FileZilla/Signal/Skype/Steam/Telegram などであり、その点では他の亜種と変わらない。
しかしFickle Stealer は、上記の機能に加えて、拡張子 .txt/.kdbx/.pdf/.doc/.docx/.xls/.xlsx/.ppt/.pptx/.odt/.odp/wallet.dat に一致するファイルを、エクスポートするように設計されている。
セキュリティ研究者の Pei Han Liao は、「いくつかの一般的なアプリケーションに加えて、このスティーラーは、包括的なデータ収集を確実に実行するために、一般的なインストール・ディレクトリの親ディレクトリ内で機密ファイルを検索する。また、Fickle Stealer はサーバからターゲット・リストを受信するため、より柔軟性がある」と述べている。
今回の情報公開は、AZStealer と呼ばれるオープンソースの Python スティーラーの詳細を、Symantec が公開したことを受けて実施されている。AZStealer は様々な情報を盗む機能を備えており、”検出されない最高の Discord スティーラー” として、GitHub で公開されている。
Broadcom 傘下の Symantec は、「窃取された情報は、すべて zip 圧縮されている。その後に、アーカイブのサイズに応じて、Discord の Web フックを介してダイレクトに流出する場合もあれば、最初にオンライン・ファイル・ストレージである Gofile にアップロードされ、その後に Discord を介して流出する場合もある。さらに AZStealer は、事前に定義された標的の拡張子を持つ文書ファイルの窃取や、ファイル名にパスワード/ウォレット/バックアップなどの特定のキーワードを持つ文書ファイルの窃取を試みる」と述べている。
Fickle Stealer も AZStealer も、このブログでは初登場の情報スティーラーです。褒めてはいけませんが、どちらもよく考えられていると感じます。こうした悪意のツールと戦っていくことは、とても大変なことだと思いますが、それぞれが気をつける他に手はありませんね。よろしければ、Info Stealer で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.