Mobilné Správy, Gadgety, Blogy's Secenziami

Odborníci vrhajú svetlo na nový ruský malvér ako služba napísaný v hrdze

Odborníci vrhajú svetlo na nový ruský malvér ako služba napísaný v hrdze 1

Rodiaci sa malvér na kradnutie informácií predávaný a distribuovaný na podzemných ruských podzemných fórach bol napísaný v jazyku Rust, čo signalizuje nový trend, keď aktéri hrozieb čoraz viac prijímajú exotické programovacie jazyky, aby obišli bezpečnostné ochrany, vyhli sa analýze a brzdili snahy o reverzné inžinierstvo.

Prezývaný „Ficker Stealer“ je známy tým, že sa šíri prostredníctvom trojanizovaných webových odkazov a napadnutých webových stránok, pričom láka obete na podvodné vstupné stránky, ktoré údajne ponúkajú bezplatné sťahovanie legitímnych platených služieb, ako je Spotify Music, YouTube Premium a ďalšie aplikácie Microsoft Store.

“Ficker sa predáva a distribuuje ako Malware-as-a-Service (MaaS) prostredníctvom podzemných ruských online fór,” uviedol výskumný a spravodajský tím BlackBerry v dnes zverejnenej správe. “Jeho tvorca, ktorého alias je @ficker, ponúka niekoľko platených balíčkov s rôznymi úrovňami poplatkov za predplatné na používanie ich škodlivého programu.”

Prvýkrát videný vo voľnej prírode v auguste 2020 Windowsškodlivý softvér sa používa na odcudzenie citlivých informácií vrátane prihlasovacích údajov, informácií o kreditných kartách, kryptomenových peňaženkách a informácií o prehliadači, okrem toho, že funguje ako nástroj na získanie citlivých súborov z napadnutého počítača a funguje ako nástroj na sťahovanie a spúšťanie ďalší malvér druhej fázy.

Okrem toho je známe, že Ficker sa doručuje prostredníctvom spamových kampaní, ktoré zahŕňajú posielanie cielených phishingových e-mailov s prílohami excelových dokumentov na báze zbraní, ktoré po otvorení spustia nakladač Hancitor, ktorý potom vloží konečnú užitočnú záťaž pomocou techniky nazývanej procesné vyhĺbenie, aby sa predišlo detekciu a maskovanie jej aktivít.

V mesiacoch, ktoré nasledovali od svojho objavu, bola digitálna hrozba nájdená využívajúca návnady s tematikou DocuSign na inštaláciu Windows binárne zo servera kontrolovaného útočníkom. CyberArk v analýze malvéru Ficker minulý mesiac zaznamenal jeho silne zatemnenú povahu a korene hrdze, vďaka čomu je analýza ťažšia, ak nie zakázaná.

„Po otvorení falošného dokumentu DocuSign a povolení spustenia jeho škodlivého kódu makra Hancitor často osloví svoju infraštruktúru príkazov a ovládania (C2) a získa škodlivú adresu URL obsahujúcu vzorku Ficker na stiahnutie,“ výskumníci BlackBerry. povedal.

Okrem toho, že sa tento malvér spolieha na techniky zahmlievania, obsahuje aj ďalšie antianalytické kontroly, ktoré bránia jeho spusteniu vo virtualizovaných prostrediach a na počítačoch obetí umiestnených v Arménsku, Azerbajdžane, Bielorusku, Kazachstane, Rusku a Uzbekistane. Osobitnú zmienku si zaslúži aj to, že na rozdiel od tradičných zlodejov informácií je Ficker navrhnutý tak, aby vykonával príkazy a získaval informácie priamo k operátorom namiesto zapisovania ukradnutých údajov na disk.

“Malvér má tiež schopnosť zachytávať obrazovku, ktorá umožňuje operátorovi malvéru na diaľku zachytiť obraz obrazovky obete. Malvér tiež umožňuje uchopenie súborov a ďalšie možnosti sťahovania po nadviazaní spojenia s C2,” uviedli vedci. “Akonáhle sú informácie odoslané späť do Ficker’s C2, vlastník malvéru môže získať prístup ku všetkým exfiltrovaným údajom a vyhľadať ich.”