Fickle Stealer

Rust 上に構築された Fickle Stealer という新たに特定されたマルウェアが、さまざまな攻撃チェーンを通じてシステムに侵入しているのが確認されています。その主な目的は、侵害されたマシンから機密情報を収集することです。

研究者は、Fickle Stealer の配布方法として、VBA ドロッパー、VBA ダウンローダー、リンク ダウンローダー、実行可能ファイル ダウンローダーの 4 つの異なる方法を特定しました。これらの方法の一部は、PowerShell スクリプトを使用してユーザー アカウント制御 (UAC) を回避し、マルウェアを実行します。「bypass.ps1」または「u.ps1」と呼ばれるこの PowerShell スクリプトは、国、都市、IP アドレス、オペレーティング システムのバージョン、コンピューター名、ユーザー名などの被害者の情報を、攻撃者の制御下にある Telegram ボットに定期的に送信するようにプログラムされています。

気まぐれな窃盗犯は幅広い機密データを侵害する可能性がある

Fickle Stealer のペイロードはパッカーによって保護されており、サンドボックスと仮想マシン環境を検出するための強力な分析回避技術を採用しています。これらのチェックがバイパスされると、リモート サーバーとの通信を確立して、JSON 形式でデータを送信します。

他のマルウェアの亜種と同様に、Fickle Stealer は、暗号通貨ウォレット、Chromium および Gecko エンジンを使用する Web ブラウザー (Google Chrome、Microsoft Edge、Brave、Vivaldi、Mozilla Firefox など)、AnyDesk、Discord、FileZilla、Signal、Skype、Steam、Telegram などのアプリケーションなど、さまざまなソースから情報を抽出することに重点を置いています。

.txt、.kdbx、.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.odt、.odp、wallet.dat などの拡張子を持つファイルをターゲットにしてデータを盗み出すようにプログラムされています。

さらに、Fickle Stealer は、よく使用されるインストール パスの親ディレクトリを検索して機密ファイルを見つけ、包括的なデータ収集を保証します。また、サーバーから更新された指示を受信するため、対象情報を取得する際の汎用性と適応性が向上します。

窃盗型マルウェアは被害者に悲惨な結果をもたらす可能性がある

スティーラー マルウェアは、システムに密かに侵入し、機密情報を収集して詐欺関連の行為者に送信する機能があるため、被害者に重大な危険をもたらします。スティーラー マルウェアの脅威によってもたらされる具体的な危険は次のとおりです。

• データ盗難: スティーラーマルウェアは、ユーザー名、パスワード、金融データ (暗号通貨ウォレットを含む)、個人文書、被害者のシステムに保存されているその他の機密情報などの機密情報をターゲットにします。盗まれたデータは、個人情報の盗難、詐欺、ダークウェブでの販売など、さまざまな有害な目的に使用される可能性があります。
• 金銭的損失: 多くの窃盗型マルウェアの亜種は、特に暗号通貨ウォレットと銀行の認証情報をターゲットにしています。これらが侵害されると、攻撃者は資金にアクセスしたり、不正な取引を行ったりすることができ、被害者に金銭的損失をもたらします。

• プライバシー侵害: プライバシー侵害は、スティーラー マルウェアにとって重大な懸念事項です。閲覧履歴、チャット ログ、電子メール、その他の通信などの個人情報をキャプチャして送信できます。このプライバシー侵害は、個人や企業に長期的な影響を及ぼす可能性があります。

• システムの侵害: スティーラー マルウェアは、多くの場合、感染したシステムにバックドアを開いたり、追加の危険なペイロードをインストールしたりします。これにより、システムのセキュリティがさらに侵害され、攻撃者が永続的なアクセスを取得したり、ランサムウェアをインストールしたり、侵害されたシステムをボットネットの一部として使用したりする可能性があります。

• ビジネスへの影響: 企業の場合、窃盗型マルウェアは、業務の重大な中断、評判の失墜、法的責任につながる可能性があります。重要な企業データ、知的財産、顧客情報の損失は、広範囲にわたる影響を及ぼす可能性があります。

• 検出の難しさ: スティーラーマルウェアは、多くの場合、アンチマルウェアソフトウェアやセキュリティ対策による検出を回避するために、分析回避チェック、暗号化、難読化などの高度な回避技術を採用しています。これにより、侵害期間が長引く可能性があり、攻撃者は気付かれずにデータを抽出し続けることができます。

• ソーシャル エンジニアリングとフィッシング: 一部の窃盗型マルウェアの亜種は、収集した情報を使用して標的型フィッシング攻撃を開始します。攻撃者は盗んだ認証情報や個人情報を利用して、説得力のあるフィッシング メールやメッセージを作成し、さらに侵害を受ける可能性を高めます。

全体的に、スティーラーマルウェアがもたらす危険性は、定期的なソフトウェア更新、エンドポイント保護、フィッシングに関するユーザー教育、疑わしい活動の積極的な監視など、強力なサイバーセキュリティ対策の重要性を強調しています。迅速な検出と対応は、個人と組織の両方に対するこれらの高度な脅威の影響を軽減するために不可欠です。