安全公司曝光黑客投放山寨 GitHub 桌面版應(yīng)用，實(shí)為 Fickle Stealer 勒索軟件

IT之家 11 月 12 日消息，安全公司 Trellix 發(fā)文，報(bào)告有黑客將勒索軟件 Fickle Stealer 偽造成 GitHub 桌面端應(yīng)用，通過釣魚郵件、搜索引擎競(jìng)價(jià)排名廣告等方式向外界投放，用戶稍有不慎下載就會(huì)中招。

安全公司解析這一山寨 GitHub 應(yīng)用發(fā)現(xiàn)，黑客為了加強(qiáng)可信度，還冒用“GitHub, Inc”、“Microsoft Public RSA Time Stamping Authority”的名義對(duì)應(yīng)用進(jìn)行簽名以蒙蔽用戶。

而在 Fickle Stealer 勒索軟件本身方面，IT之家獲悉該勒索軟件使用 Rust 語言開發(fā)，據(jù)稱能夠從受害者瀏覽器和多種應(yīng)用程序中收集賬號(hào)密碼、瀏覽記錄、信用卡信息等多項(xiàng)個(gè)人數(shù)據(jù)。

值得注意的是，該勒索軟件還會(huì)利用 PowerShell 腳本繞過用戶賬戶控制（UAC），同時(shí)具備規(guī)避安全軟件檢測(cè)的功能，甚至能夠在攻擊行為暴露后能通過偽造錯(cuò)誤信息進(jìn)行掩蓋并自我刪除。

研究人員還提到，F(xiàn)ickle Stealer 的一項(xiàng)關(guān)鍵機(jī)制是利用自制的打包工具混淆惡意代碼，使得靜態(tài)分析工具和傳統(tǒng)檢測(cè)方法無法識(shí)別。黑客還引入了反沙盒技術(shù)，避免相關(guān)軟件能夠在沙盒環(huán)境中被安全公司所分析，具備一定的反偵察意識(shí)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。