Experten klären über neue russische Malware-as-a-Service auf, die in Rust geschrieben wurde

  • Eine im Entstehen begriffene Malware zum Informationsdiebstahl, die in russischen Untergrundforen verkauft und verbreitet wird, wurde in Rust geschrieben. Dies deutet auf einen neuen Trend hin, bei dem Bedrohungsakteure zunehmend exotische Programmiersprachen verwenden, um Sicherheitsvorkehrungen zu umgehen, Analysen zu entgehen und Reverse-Engineering-Bemühungen zu erschweren.

    Der “Ficker Stealer” genannte Schädling verbreitet sich über trojanisierte Weblinks und kompromittierte Websites und lockt seine Opfer auf betrügerische Landing Pages, die angeblich kostenlose Downloads von legitimen, kostenpflichtigen Diensten wie Spotify Music, YouTube Premium und anderen Microsoft Store-Anwendungen anbieten.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    “Ficker wird als Malware-as-a-Service (MaaS) über unterirdische russische Online-Foren verkauft und verbreitet”, so das Forschungs- und Geheimdienstteam von BlackBerry in einem heute veröffentlichten Bericht. “Sein Schöpfer, der unter dem Pseudonym @ficker bekannt ist, bietet mehrere kostenpflichtige Pakete mit unterschiedlich hohen Abonnementgebühren für die Nutzung seines Schadprogramms an.”

    Die Windows-basierte Malware, die erstmals im August 2020 in freier Wildbahn auftauchte, dient dazu, vertrauliche Informationen zu stehlen, darunter Anmeldedaten, Kreditkarteninformationen, Kryptowährungs-Geldbörsen und Browser-Informationen, und fungiert darüber hinaus als Tool zum Abgreifen vertraulicher Dateien von dem kompromittierten Computer und als Downloader zum Herunterladen und Ausführen zusätzlicher Malware der zweiten Stufe.

    [Blocked Image: https://thehackernews.com/images/-ktInV_EJHNY/YRUrXPL854I/AAAAAAAADg4/Z1JHbeuwzZwQHGFWX4uPXMaWiOXGvCkeQCLcBGAsYHQ/s728-e1000/malware.jpg]

    Darüber hinaus ist bekannt, dass Ficker über Spam-Kampagnen verbreitet wird, bei denen gezielte Phishing-E-Mails mit waffenfähigen, makrobasierten Excel-Dokumenten versendet werden, die beim Öffnen den Hancitor-Loader abwerfen, der dann die endgültige Nutzlast mithilfe einer Technik namens Process Hollowing einschleust, um eine Entdeckung zu vermeiden und seine Aktivitäten zu verschleiern.

    [Blocked Image: https://thehackernews.com/images/-Tc-xbFXAsYo/YRUq0x7vEWI/AAAAAAAADgw/rVf_0DYNPFAxZpen_s6_-E1_9rEI93E4wCLcBGAsYHQ/s728-e1000/malware-as-a-service.jpg]

    In den Monaten seit ihrer Entdeckung wurde die digitale Bedrohung gefunden, die DocuSign-ähnliche Köder benutzt, um eine Windows-Binärdatei von einem von Angreifern kontrollierten Server zu installieren. CyberArk wies in einer Analyse der Ficker-Malware im vergangenen Monat darauf hin, dass sie stark verschleiert ist und aus Rust stammt, was die Analyse erschwert, wenn nicht gar unmöglich macht.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    “Sobald das gefälschte DocuSign-Dokument geöffnet und der bösartige Makrocode ausgeführt wird, wendet sich Hancitor häufig an seine Command-and-Control-Infrastruktur (C2), um eine bösartige URL zu erhalten, die eine Probe von Ficker zum Download enthält”, so die BlackBerry-Forscher.

    Die Malware setzt nicht nur auf Verschleierungstechniken, sondern beinhaltet auch andere Anti-Analyse-Checks, die verhindern, dass sie in virtualisierten Umgebungen und auf Opferrechnern in Armenien, Aserbaidschan, Weißrussland, Kasachstan, Russland und Usbekistan ausgeführt werden kann. Besonders erwähnenswert ist auch, dass Ficker im Gegensatz zu herkömmlichen Datendieben die Befehle ausführt und die Informationen direkt zu den Betreibern exfiltriert, anstatt die gestohlenen Daten auf die Festplatte zu schreiben.

    “Die Malware verfügt auch über Funktionen zum Aufzeichnen von Bildschirminhalten, die es dem Betreiber der Malware ermöglichen, aus der Ferne ein Bild des Bildschirms des Opfers zu erfassen. Die Malware ermöglicht auch das Abgreifen von Dateien und zusätzliche Download-Funktionen, sobald eine Verbindung zu ihrem C2 hergestellt ist”, so die Forscher. “Sobald die Informationen an den C2 von Ficker zurückgeschickt werden, kann der Besitzer der Malware auf alle exfiltrierten Daten zugreifen und sie durchsuchen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com