Większość rodzajów złośliwego oprogramowania ma na celu kradzież Twoich danych uwierzytelniających, w tym poufnych informacji, takich jak dane karty kredytowej i tożsamość osobista, a nawet przejmowanie Twoich plików. Złośliwe oprogramowanie zwykle dostaje się do komputera osoby dyskretnie, często poprzez załączniki do wiadomości e-mail lub, częściej, za pośrednictwem ataków socjotechnicznych.
Szczególnie niepokojącym szczepem złośliwego oprogramowania jest FickerStealer, popularne oprogramowanie do kradzieży informacji, które krąży od 2020 roku. Więc co to jest? Co to robi? A jeśli jesteś dotknięty, co możesz?
Co to jest FickerStealer?
FickerStealer został po raz pierwszy wykryty w sierpniu 2020 r. w ciemnej sieci. Jest to popularny program do kradzieży informacji, skierowany przede wszystkim do systemów Windows, który początkowo był sprzedawany jako złośliwe oprogramowanie jako usługa (MaaS) program na Telegramie za około 200 USD. W tamtym czasie FickerStealer był dostępny z różnymi możliwościami, a jego cena sięgała nawet 900 USD.
FickerStealer może wykraść poufne informacje przechowywane na komputerze ofiary, w tym:
- Adresy portfeli kryptowalut.
- Hasła z przeglądarek internetowych.
- Szczegóły karty kredytowej.
- Hasła SSH lub dane logowania do FTP.
- Hasła logowania do komputera.
- Wszelkie poświadczenia przechowywane przez Menedżera poświadczeń systemu Windows.
FickerStealer promował się, twierdząc, że może ukraść poufne informacje z ponad 40 przeglądarek, w tym wszystkich popularnych, takich jak Chrome, Opera, Firefox i Edge.
Po włamaniu do przeglądarki złośliwe oprogramowanie było w stanie wykraść dane i przekazać je z powrotem do nadawcy złośliwego oprogramowania. Jeśli korzystałeś z klienta FTP lub aplikacji poczty e-mail, takiej jak Outlook lub Thunderbird, FickerStealer był w stanie ukraść informacje również z nich.
I jest w stanie zbierać wszystkie informacje z twojego komputera, w tym procesor, zainstalowane aplikacje, użycie procesora, a także był w stanie robić zrzuty ekranu.
FickerStealer został napisany w Rust i Assembly, językach programowania, które są niezwykle wydajne i szybko się ładują. Rust sam w sobie jest dość złożonym językiem, co nieco utrudnia jego inżynierię wsteczną.
Kupujący uzyskaliby dostęp do internetowego panelu, który umożliwiłby im przejrzenie wszelkich informacji, które ukradli ofiarom.
W jaki sposób FickerStealer infekuje Twój komputer?
Podobnie jak większość złośliwego oprogramowania, FickerStealer był dystrybuowany przy użyciu różnych technik.
E-mailowe kampanie spamowe
Te wiadomości e-mail są często starannie zamaskowane, aby oferować coś wartościowego, a jeśli niczego nie podejrzewająca osoba pobierze załącznik, złośliwe oprogramowanie zostanie natychmiast wstrzyknięte do systemu plików. To jeden z najczęstszych sposobów rozprzestrzeniania się złośliwego oprogramowania.
Te e-maile są często zamaskowane, aby wyglądały na ważne, a nawet mogą wydawać się oficjalne. Zawierają załączniki udające pozornie nieszkodliwe pliki, w tym załączniki .zip lub .rar. Ale gdy tylko ktoś je pobierze, uruchamia skrypt, który infekuje urządzenie.
Nieoficjalne pobieranie złamanego oprogramowania
Szkodliwe malware, takie jak FickerStealer, jest często dystrybuowane za pomocą „krakowanych" lub ryzykownych pobrań oprogramowania. Wiele osób pobiera złamane oprogramowanie z nieoficjalnych źródeł, takich jak serwery lustrzane lub torrenty.
W większości przypadków programy te są zainfekowane złośliwym oprogramowaniem, takim jak FickerStealer. Aby zachęcić do większej liczby pobrań, złośliwi aktorzy często twierdzą, że oferują złamane wersje popularnego oprogramowania, takiego jak Microsoft Office lub nowe gry wideo. Zawsze ważne jest, aby zachować ostrożność sprawdź ważne rzeczy przed pobraniem plików online, jak autentyczność witryny.
FickerStealer może również łatwo rozprzestrzeniać się za pośrednictwem nieoficjalnych narzędzi do aktywacji oprogramowania. Używane do piractwa, mają one na celu usunięcie ograniczeń DRM i umożliwienie użytkownikom korzystania z oprogramowania objętego ograniczeniami bez klucza licencyjnego.
Typowym przykładem jest Keygen lub generator kluczy. Często zawierają złośliwe pliki i mogą zainfekować komputer zaraz po uruchomieniu programu.
FickerStealer był intensywnie dystrybuowany w ten sposób. Ponieważ był sprzedawany jako MaaS, złośliwi aktorzy mieli możliwość dostosowywania możliwości programu w oparciu o sposób, w jaki chcieli go rozpowszechniać.
Co sprawiło, że FickerStealer jest tak popularny?
W przeciwieństwie do konwencjonalnego złośliwego oprogramowania było to sprzedawane jako usługa. Tak więc, gdy kupujący zawarł umowę, otrzymywał dostosowany pakiet złośliwego oprogramowania, w tym konfigurację serwera i plik wykonywalny.
Dystrybutor złośliwego oprogramowania wymagał również adresu serwera C&C (dowodzenia i kontroli), aby mógł dostosować kod złośliwego oprogramowania do komunikacji z serwerem kupującego.
Ponieważ FickerStealer nie ma żadnych zależności, może działać bez pobierania żadnych dodatkowych bibliotek, co czyni go niesamowicie szybkim. Ponadto, w przeciwieństwie do innych szkodliwych programów, do komunikacji z serwerem C&C nie wykorzystywał protokołu HTTP.
Komunikacja była w pełni szyfrowana po stronie klienta przy użyciu rotacji XOR, więc dane były generalnie trudne do odszyfrowania. Co ważniejsze, FickerStealer nigdy nie prowadził żadnych dzienników.
Gdy tylko złośliwe oprogramowanie ukradnie dane, po prostu przekaże je do serwera C&C, co znacznie utrudni ich wykrycie. Konwencjonalne złośliwe oprogramowanie na ogół zapisuje dane i przechowuje je w folderze tymczasowym przed wysłaniem ich do serwera C&C.
Jak usunąć FickerStealera
FickerStealer atakuje przede wszystkim systemy Windows, więc poniższe sugestie dotyczą głównie użytkowników korzystających z tego systemu.
Użyj solidnej aplikacji antywirusowej
Ochrona antywirusowa jest niezbędna do wykrywania, kwarantanny i usuwania złośliwego oprogramowania z komputera. Istnieje kilka popularne aplikacje antywirusowe dla systemu Windows 11, i zdecydowanie zaleca się korzystanie z renomowanego, takiego jak Kaspersky, do ochrony komputera.
Jeśli Twój komputer zostanie zainfekowany FickerStealer, Twój program antywirusowy wykryje go i usunie zainfekowane pliki. To chyba najważniejszy krok, ponieważ w przypadku złośliwego oprogramowania zapobieganie jest najlepszym lekarstwem.
Aplikacje antywirusowe okresowo skanują komputer w celu wykrycia złośliwego oprogramowania lub szkodliwych programów, takich jak robaki komputerowe, a następnie poddaj zainfekowane pliki kwarantannie.
Sformatuj swój system plików
Zasadniczo nie jest to zalecana metoda, ale jeśli nie masz żadnych poufnych plików na komputerze i chcesz pozbyć się FickerStealera, możesz rozważyć całkowite sformatowanie dysku twardego. To naprawdę powinien być ostatni środek, który rozważasz.
Sformatowanie dysku spowoduje usunięcie wszystkich plików z dysku, w tym systemu operacyjnego (jeśli znajduje się na tym samym dysku), więc może być konieczne ponowne uruchomienie i ponowna instalacja systemu operacyjnego.
Zachowaj bezpieczeństwo podczas przeglądania sieci
Złośliwe oprogramowanie często rozprzestrzenia się za pośrednictwem podejrzanych plików i załączników wiadomości e-mail. Ważne jest, aby unikać pobierania jakichkolwiek niewiarygodnych plików na swój komputer, zwłaszcza z nieoficjalnych źródeł.
Ponadto, jeśli otrzymasz wiadomość e-mail z nieoficjalnego źródła, zachowaj ostrożność podczas jej otwierania. Większość dostawców usług poczty e-mail ma teraz wbudowane narzędzia do skanowania w poszukiwaniu złośliwego oprogramowania, dzięki czemu otrzymasz powiadomienie w przypadku zainfekowania pliku.
A jeśli podłączysz nowy dysk wewnętrzny, półprzewodnikowy lub dysk twardy, pamiętaj o sformatowaniu go przed rozpoczęciem korzystania z niego.
