安全专家揭示了一种用Rust编写的新型恶意软件即服务

俄罗斯地下论坛上出售一种用Rust编写的恶意软件即服务，这标志着一种新趋势，即攻击者越来越多地采用小众奇特的编程语言来绕过安全保护、逃避分析并阻碍逆向工程工作。

该新的恶意软件被称为“ Ficker Stealer ”，它通过木马化的网络链接和受感染的网站进行传播，引诱受害者进入据称提供免费下载合法付费服务（如 Spotify Music、YouTube Premium 和其他 Microsoft Store 应用程序）的登陆页面。

“Ficker 通过俄罗斯地下在线论坛作为恶意软件即服务 (MaaS) 出售和分发，”黑莓的研究和情报团队在今天发布的一份报告中说。“它的创建者，别名@ficker，提供了几个付费套餐，使用他们的恶意程序需要支付不同的订阅费。”

这种基于 Windows 的恶意软件于 2020 年 8 月首次在野出现，除了用作从受感染者中获取敏感文件的工具外，还用于窃取敏感信息，包括登录凭据、信用卡信息、加密货币钱包和浏览器信息。机器，并充当下载器来下载和执行额外的第二阶段恶意软件。

此外，众所周知，Ficker 是通过垃圾邮件来传送的，其中包括发送带有武器化的基于宏的 Excel 文档附件的钓鱼邮件，当打开这些附件时，会投放Hancitor加载程序，然后使用称为进程挖空的技术注入最终有效负载以避免检测并掩盖其活动。

在发现之后的几个月里，人们发现数字威胁利用以 DocuSign 为主题的诱饵从攻击者控制的服务器安装Windows 二进制文件。Cyber​​Ark 在上个月对 Ficker 恶意软件的分析中指出，其严重混淆的性质和 Rust 根源，使分析变得更加困难，甚至令人望而却步。

“一旦打开伪造的 DocuSign 文档并允许其恶意宏代码运行，Hancitor 通常会接触其命令和控制 (C2) 基础设施，以接收包含要下载的 Ficker 样本的恶意 URL，”黑莓研究人员说。

除了依赖混淆技术外，该恶意软件还包含其他反分析检查，以防止其在位于亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、俄罗斯和乌兹别克斯坦的虚拟化环境和受害机器上运行。另外值得注意的是，与传统的信息窃取程序不同，Ficker 旨在执行命令并将信息直接泄露给操作员，而不是将窃取的数据写入磁盘。

研究人员说：“该恶意软件还具有屏幕捕获功能，允许恶意软件的操作员远程捕获受害者屏幕的图像。一旦建立与其 C2 的连接，该恶意软件还可以启用文件抓取和其他下载功能。” “一旦信息被发送回 Ficker 的 C2，恶意软件所有者就可以访问和搜索所有泄露的数据。”