Un malware naciente que roba información vendido y distribuido en foros clandestinos de Rusia se ha escrito en Rust, lo que indica una nueva tendencia en la que los actores de amenazas están adoptando cada vez más lenguajes de programación exóticos para eludir las protecciones de seguridad, evadir el análisis y obstaculizar los esfuerzos de ingeniería inversa.
Apodado » Ficker Stealer «, es notable por propagarse a través de enlaces web troyanos y sitios web comprometidos, atrayendo a las víctimas a páginas de aterrizaje fraudulentas que supuestamente ofrecen descargas gratuitas de servicios pagos legítimos como Spotify Music, YouTube Premium y otras aplicaciones de Microsoft Store.
«Ficker se vende y distribuye como Malware-as-a-Service (MaaS), a través de foros clandestinos en línea de Rusia», dijo el equipo de investigación e inteligencia de BlackBerry en un informe publicado hoy. «Su creador, cuyo alias es @ficker, ofrece varios paquetes de pago, con diferentes niveles de tarifas de suscripción para utilizar su programa malicioso».
Visto por primera vez en la naturaleza en agosto de 2020, el malware basado en Windows se usa para robar información confidencial, incluidas credenciales de inicio de sesión, información de tarjetas de crédito, billeteras de criptomonedas e información del navegador, además de funcionar como una herramienta para capturar archivos confidenciales de los comprometidos. máquina y actuar como un descargador para descargar y ejecutar malware adicional de segunda etapa.
Además, se sabe que Ficker se envía a través de campañas de spam, que implican el envío de correos electrónicos de phishing dirigidos con archivos adjuntos de documentos de Excel basados en macros armados que, cuando se abren, sueltan el cargador Hancitor , que luego inyecta la carga útil final utilizando una técnica llamada proceso de vaciado para evitar detección y enmascarar sus actividades.
En los meses que siguieron desde su descubrimiento, se descubrió que la amenaza digital aprovechaba los señuelos con el tema de DocuSign para instalar un binario de Windows desde un servidor controlado por un atacante. CyberArk, en un análisis del malware Ficker el mes pasado, notó su naturaleza muy confusa y las raíces de Rust, lo que hace que el análisis sea más difícil, si no prohibitivo.
«Una vez que se abre el documento falso de DocuSign y se permite que se ejecute su código macro malicioso, Hancitor a menudo se comunica con su infraestructura de comando y control (C2) para recibir una URL maliciosa que contiene una muestra de Ficker para descargar», investigadores de BlackBerry dijo .
Además de depender de técnicas de ofuscación, el malware también incorpora otras comprobaciones anti-análisis que evitan que se ejecute en entornos virtualizados y en máquinas víctimas ubicadas en Armenia, Azerbaiyán, Bielorrusia, Kazajstán, Rusia y Uzbekistán. También cabe destacar que, a diferencia de los ladrones de información tradicionales, Ficker está diseñado para ejecutar los comandos y exfiltrar la información directamente a los operadores en lugar de escribir los datos robados en el disco.
«El malware también tiene capacidades de captura de pantalla, que permiten al operador del malware capturar de forma remota una imagen de la pantalla de la víctima. El malware también permite la captura de archivos y capacidades de descarga adicionales una vez que se establece la conexión a su C2», dijeron los investigadores. «Una vez que la información se envía de vuelta al C2 de Ficker, el propietario del malware puede acceder y buscar todos los datos extraídos».
