安全公司曝光黑客投放山寨 GitHub 桌面版應(yīng)用，實為 Fickle Stealer 勒索軟件

IT之家 11 月 12 日消息，安全公司 Trellix 發(fā)文，報告有黑客將勒索軟件 Fickle Stealer 偽造成 GitHub 桌面端應(yīng)用，通過釣魚郵件、搜索引擎競價排名廣告等方式向外界投放，用戶稍有不慎下載就會中招。

安全公司解析這一山寨 GitHub 應(yīng)用發(fā)現(xiàn)，黑客為了加強可信度，還冒用“GitHub, Inc”、“Microsoft Public RSA Time Stamping Authority”的名義對應(yīng)用進(jìn)行簽名以蒙蔽用戶。

而在 Fickle Stealer 勒索軟件本身方面，IT之家獲悉該勒索軟件使用 Rust 語言開發(fā)，據(jù)稱能夠從受害者瀏覽器和多種應(yīng)用程序中收集賬號密碼、瀏覽記錄、信用卡信息等多項個人數(shù)據(jù)。

值得注意的是，該勒索軟件還會利用 PowerShell 腳本繞過用戶賬戶控制（UAC），同時具備規(guī)避安全軟件檢測的功能，甚至能夠在攻擊行為暴露后能通過偽造錯誤信息進(jìn)行掩蓋并自我刪除。

研究人員還提到，F(xiàn)ickle Stealer 的一項關(guān)鍵機制是利用自制的打包工具混淆惡意代碼，使得靜態(tài)分析工具和傳統(tǒng)檢測方法無法識別。黑客還引入了反沙盒技術(shù)，避免相關(guān)軟件能夠在沙盒環(huán)境中被安全公司所分析，具備一定的反偵察意識。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。