Fickle Stealer

Se ha observado que un malware recientemente identificado llamado Fickle Stealer, construido sobre Rust, se infiltra en los sistemas a través de varias cadenas de ataque. Su objetivo principal es recopilar información confidencial de las máquinas comprometidas.

Los investigadores han identificado cuatro métodos distintos de distribución para Fickle Stealer: cuentagotas VBA, descargador VBA, descargador de enlaces y descargador ejecutable. Algunos de estos métodos utilizan un script de PowerShell para eludir el Control de cuentas de usuario (UAC) y ejecutar el malware. Este script de PowerShell, conocido como 'bypass.ps1' o 'u.ps1', está programado para transmitir periódicamente información de la víctima, como país, ciudad, dirección IP, versión del sistema operativo, nombre de la computadora y nombre de usuario, a un bot de Telegram en el control del atacante.

El ladrón voluble puede comprometer una amplia gama de datos confidenciales

La carga útil de Fickle Stealer está protegida por un empaquetador y emplea sólidas técnicas antianálisis para detectar entornos sandbox y máquinas virtuales. Una vez saltadas estas comprobaciones, establece comunicación con un servidor remoto para transmitir datos en formato JSON.

Al igual que otras variantes de malware, Fickle Stealer se centra en extraer información de diversas fuentes, como carteras de criptomonedas, navegadores web que utilizan motores Chromium y Gecko (por ejemplo, Google Chrome, Microsoft Edge, Brave, Vivaldi, Mozilla Firefox) y aplicaciones como AnyDesk. Discord, FileZilla, Signal, Skype, Steam y Telegram.

Está programado para apuntar a archivos con extensiones como .txt, .kdbx, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .odp y wallet.dat para su exfiltración.

Además, Fickle Stealer realiza búsquedas en directorios principales de rutas de instalación comúnmente utilizadas para localizar archivos confidenciales, lo que garantiza una recopilación de datos completa. También recibe instrucciones actualizadas del servidor, lo que mejora su versatilidad y adaptabilidad a la hora de recuperar información específica.

Un malware ladrón podría tener consecuencias nefastas para las víctimas

El malware ladrón plantea importantes peligros para sus víctimas debido a su capacidad para infiltrarse en los sistemas de forma silenciosa, recopilar información confidencial y transmitirla a actores relacionados con el fraude. A continuación se detallan algunos peligros específicos que plantean las amenazas de malware ladrón:

• Robo de datos : el malware ladrón se dirige a información confidencial como nombres de usuario, contraseñas, datos financieros (incluidas carteras de criptomonedas), documentos personales y otra información confidencial almacenada en el sistema de la víctima. Los datos robados se pueden utilizar para diversos fines dañinos, incluido el robo de identidad, el fraude o la venta en la Dark Web.
• Pérdida financiera : muchas variantes de malware ladrón se dirigen específicamente a carteras de criptomonedas y credenciales bancarias. Una vez que estos se ven comprometidos, los atacantes pueden obtener acceso a los fondos o realizar transacciones no autorizadas, lo que genera pérdidas financieras para la víctima.

• Violación de la privacidad : la invasión de la privacidad es una preocupación crítica con el malware ladrón. Puede capturar y transmitir información personal como historial de navegación, registros de chat, correos electrónicos y otras comunicaciones. Esta violación de la privacidad puede tener consecuencias duraderas para individuos y empresas.

• Compromiso del sistema : el malware ladrón a menudo abre puertas traseras o instala cargas útiles inseguras adicionales en los sistemas infectados. Esto podría comprometer aún más la seguridad del sistema, permitiendo a los atacantes obtener acceso persistente, instalar ransomware o utilizar el sistema comprometido como parte de una botnet.

• Impacto empresarial : en el caso de las empresas, el malware ladrón puede provocar importantes interrupciones operativas, daños a la reputación y responsabilidades legales. La pérdida de datos corporativos discretos, propiedad intelectual o información de clientes puede tener consecuencias de gran alcance.

• Dificultad de detección : el malware ladrón a menudo emplea técnicas de evasión avanzadas, como comprobaciones antianálisis, cifrado y ofuscación para evitar la detección mediante software antimalware y medidas de seguridad. Esto puede prolongar el período de compromiso, permitiendo a los atacantes continuar extrayendo datos sin ser detectados.

• Ingeniería social y phishing : algunas variantes de malware ladrón utilizan información recopilada para lanzar ataques de phishing dirigidos. Al aprovechar las credenciales y los datos personales robados, los atacantes pueden crear correos electrónicos o mensajes de phishing convincentes, lo que aumenta la probabilidad de mayores compromisos.

En general, los peligros que plantea el malware ladrón subrayan la importancia de prácticas sólidas de ciberseguridad, incluidas actualizaciones periódicas de software, protección de terminales, educación de los usuarios sobre la concientización sobre el phishing y monitoreo proactivo de actividades sospechosas. La detección y respuesta rápidas son cruciales para mitigar el impacto de estas amenazas sofisticadas tanto en individuos como en organizaciones.