善變的 Stealer:基於 Rust 的威脅和設備保護
善變的 Stealer 成為動態網路安全領域的另一個威脅。這種基於 Rust 的資訊竊取惡意軟體因其複雜的攻擊方法及其針對的敏感資料而引起轟動。以下是您需要了解的有關 Fickle Stealer 的資訊、其目標、風險以及如何保護您的設備。
Table of Contents
什麼是善變的偷竊者?
Fickle Stealer 是一種專門設計用於從受感染設備獲取敏感資訊的惡意軟體。它利用多個攻擊鏈,包括 VBA dropper、VBA 下載器、鏈接下載器和可執行下載器。這些方法使惡意軟體能夠有效率且有效地滲透系統。一旦嵌入設備中,Fickle Stealer 就會利用 PowerShell 腳本繞過使用者帳戶控制 (UAC) 並執行其有效負載。該腳本稱為“bypass.ps1”或“u.ps1”,定期向攻擊者控制的 Telegram 機器人發送有關受害者位置、IP 位址、作業系統版本和其他詳細資訊的更新。
善變的偷竊者想要什麼?
Fickle Stealer 的主要目標是從受感染的系統中收集盡可能多的敏感資訊。它旨在從各種來源提取數據,包括:
- 加密錢包:它的目標是 wallet.dat 文件,這對於加密貨幣儲存至關重要。
- Web 瀏覽器:它從 Google Chrome、Microsoft Edge、Brave、Vivaldi 和 Mozilla Firefox 等瀏覽器收集資料。
- 應用程式:它從 AnyDesk、Discord、FileZilla、Signal、Skype、Steam 和 Telegram 等應用程式收集資訊。
- 檔案:它搜尋副檔名為 .txt、.kdbx、.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.odt、.odp 的文件,並將其匯出。
此外,Fickle Stealer 還執行反分析檢查,以確保其不在沙箱或虛擬機器環境中運行,從而增強其不被發現並成功竊取資料的能力。
當使用者遇到善變的竊取者時會發生什麼事?
當 Fickle Stealer 感染設備時,它會開始靜默運作。用戶可能不會立即註意到任何變化,因為惡意軟體被設計為謹慎運行。以下是所發生情況的逐步細分:
- 感染:惡意軟體透過其一種分發方法進行傳播,例如 VBA dropper 或可執行下載程式。
- 執行:PowerShell腳本繞過UAC,執行Fickle Stealer有效負載。
- 資料收集:惡意軟體收集廣泛的數據,從瀏覽器資訊到應用程式資料和特定檔案類型。
- 資料外洩:收集的資料以 JSON 格式傳送到遠端伺服器,攻擊者可以在其中存取它。
在此過程中,使用者可能會遇到效能下降或網路活動異常的情況,儘管這些跡象通常很微妙且容易被忽略。
如何保護設備免受變化無常的竊取者的侵害
保護您的裝置免受 Fickle Stealer 的侵害需要結合良好的安全實踐和強大的網路安全工具。以下是保護您的資料的一些步驟:
- 定期更新軟體:確保您的作業系統、瀏覽器和應用程式始終使用最新的安全性修補程式進行更新。
- 使用可靠的防毒軟體:使用值得信賴的防毒程式來偵測和阻止像 Fickle Stealer 這樣的惡意軟體。
- 啟用多重身份驗證 (MFA) :MFA 增加了另一層安全性,使攻擊者更難存取您的帳戶。
- 小心電子郵件附件和連結:不要開啟附件或點擊來自未知或可疑來源的連結。
- 實施使用者帳戶控制 (UAC) :保持 UAC 啟用以防止對系統進行未經授權的變更。
- 定期備份:定期將資料備份到安全位置。如果發生感染,您可以將系統恢復到先前的狀態。
- 監控網路活動:監控您的網路是否有可能表示惡意軟體感染的異常活動。
最後的想法
Fickle Stealer 由於能夠繞過安全措施並獲取大量敏感信息,因此構成了重大威脅。使用者可以透過了解其機制並採取主動措施來保護其裝置和資料免受這種陰險惡意軟體的侵害。保持警惕,保持系統更新,並使用全面的安全工具來防禦 Fickle Stealer 等威脅。
