Dans un monde numérique où la protection des données devient un enjeu majeur, l’émergence de malwares sophistiqués révèle des risques accrus pour les utilisateurs et les entreprises. Récemment, un nouveau type de logiciel malveillant, baptisé Fickle Stealer, a été identifié pour sa capacité à dérober des informations confidentielles grâce à des méthodes d’infiltration avancées, incluant l’utilisation de PowerShell pour contourner les contrôles et extraire des données discrètement.
Analyse du Fickle Stealer et de ses méthodes de distribution
Multi-techniques de diffusion exploitant PowerShell
Les experts en cybersécurité de Fortinet FortiGuard Labs ont distingué pas moins de quatre méthodes de distribution du malware basé sur Rust. Il est principalement déployé via un dropper VBA, un téléchargeur VBA, un téléchargeur via des liens et un téléchargeur exécutable. Un aspect remarquable réside dans l’usage d’un script PowerShell, désigné par les noms « bypass.ps1 » ou « u.ps1 ». Ce script permet non seulement de bypass le Contrôle de Compte d’Utilisateur (UAC) mais aussi de transmettre périodiquement des informations telles que la localisation de la victime, le nom d’utilisateur, la version du système d’exploitation et d’autres détails à un bot Telegram supervisé par les attaquants.
Techniques d’évasion et extraction de données
L’agent malveillant emploie un « packer » pour se protéger et effectue des vérifications contre l’analyse, tentant de déterminer si l’environnement est virtuel ou une sandbox. Suite à quoi, il établit des connexions avec un serveur à distance pour siphonner les données en format JSON. Cette stratégie d’exfiltration des données le rend particulièrement virulent et difficile à détecter.
Impact de Fickle Stealer sur les applications et les fichiers
Cibles des applications
Fickle Stealer s’attaque à des éléments précis, ciblant des portefeuilles de cryptomonnaies, des navigateurs basés sur les moteurs Chromium et Gecko comme Google Chrome, Microsoft Edge et Mozilla Firefox. Le malware a également un œil sur des applications fréquemment utilisées telles que Discord, Skype, et Telegram où il peut capturer diverses informations de connexion.
Sélection de fichiers sensibles
L’attention du malware ne s’arrête pas là; il est également programmé pour repérer et extraire des fichiers avec des extensions spécifiques (.txt, .pdf, .docx, etc.) et surveiller des fichiers tels que wallet.dat, essentiels pour les utilisateurs de cryptomonnaies. La capacité de Fickle Stealer à adapter sa collecte de données en fonction des directives reçues de son serveur commanditaire augmente son efficacité et sa furtivité.
Comprendre et contrer des menaces de cyber-sécurité telles que Fickle Stealer est au cœur des services que CyberCare propose à ses clients pour renforcer leur infrastructure IT et protéger leurs précieuses données contre des attaques sophistiquées et émergentes.