Вредоносная программа для кражи информации, продаваемая и распространяемая на подпольных российских форумах, была написана на языке Rust, что свидетельствует о новой тенденции, когда подобный софт всё чаще использует экзотические языки программирования для обхода средств защиты, уклонения от анализа и препятствования попыткам реверс-инженеринга.
Программа, получившая название «Ficker Stealer», отличается тем, что распространяется через троянские ссылки и взломанные сайты, заманивая жертв на мошеннические целевые страницы, якобы предлагающие бесплатную загрузку платных услуг, вроде Spotify Music, YouTube Premium и других приложений Microsoft Store.
«Ficker продается и распространяется по подписке (MaaS) через подпольные российские интернет-форумы», — говорится в опубликованном отчёте группы исследований BlackBerry. «Его создатель, под ником @ficker, предлагает несколько платных пакетов, с различными уровнями абонентской платы за использование вредоносного ПО».
Впервые замеченная в августе 2020 года, эта вредоносная программа на базе Windows используется для кражи конфиденциальной информации, включая учётные данные, информацию о кредитных картах, криптовалютных кошельках и браузерах, а также в качестве инструмента для захвата файлов со взломанной машины и в качестве загрузчика для скачивания и исполнения дополнительных вредоносных программ.
Кроме того, известно, что Ficker распространяется через спам-кампании, которые включают рассылку фишинговых писем с вложениями и документов Excel с макросами. При их открытии запускается ещё один загрузчик.
Вредоносная программа также включает анти-аналитические проверки, которые не позволяют ей работать в виртуальных средах и на машинах жертв, расположенных в Армении, Азербайджане, Беларуси, Казахстане, России и Узбекистане. Также стоит особо отметить, что, в отличие от традиционных программ для кражи информации, Ficker предназначен для выполнения команд и передачи информации непосредственно в руки злоумышленника, а не для записи или шифровании украденных данных на диске.
Ravie Lakshmanan
