网络安全研究人员发现了一种名为 Fickle Stealer 的新恶意软件，它是用Rust编程语言开发的。该程序旨在从受感染的设备窃取机密信息。

Fortinet 的专家确定了 四种分发 Fickle Stealer 的方法：VBA dropper、VBA downloader、link downloader 和executable downloader。其中一些使用 PowerShell 脚本绕过用户帐户控制 (UAC) 并启动恶意软件。

名为“bypass.ps1”或“u.ps1”的 PowerShell 脚本还旨在定期向 Telegram 机器人发送有关受害者的信息，包括国家、城市、IP 地址、操作系统版本、计算机名称和用户名。由攻击者。

Fickle Stealer 恶意软件受到包装器的保护，会执行一系列检查来检测沙箱或虚拟机，然后以 JSON 格式将数据发送到远程服务器。

Fickle Stealer 从加密钱包、基于 Chromium 和 Gecko 的网络浏览器（Google Chrome、Microsoft Edge、Brave、Vivaldi 和 Mozilla Firefox）以及 AnyDesk、Discord、FileZilla、Signal、Skype、Steam 和 Telegram 应用程序收集信息。该程序还导出扩展名为 txt、kdbx、pdf、doc、docx、xls、xlsx、ppt、pptx、odt、odp 和 wallet.dat 的文件。

“除了流行的应用程序之外，该信息软件还会在共享安装目录的父目录中搜索敏感文件，以确保全面的数据收集，”安全研究员 Pei Han Liao 指出。 “它还会从服务器中提取目标列表，这使得 Fickle Stealer 更加灵活。”

此外，博通旗下的 赛门铁克最近披露了 另一种名为 AZStealer 的恶意软件的详细信息。它基于Python，还收集了广泛的信息。 AZStealer 可 在 GitHub 上使用，并被宣传为“最佳的无法检测的 Discord 窃贼”。

“所有被盗信息都会被存档，并根据存档的大小直接通过 Discord Webhook 泄露。或者它首先上传到 Gofile 在线存储，然后通过 Discord，”研究人员报告道。

“AZStealer 还尝试窃取具有预定义扩展名或包含“密码”、“钱包”、“备份”等关键字的文档。在文件名中。”

文章原文链接:https://www.anquanke.com/post/id/297464