近日，網(wǎng)絡(luò)安全公司Trellix揭露了一種新型勒索軟件的存在，該軟件名為Fickle Stealer，被黑客偽裝成知名的GitHub桌面應(yīng)用進(jìn)行傳播。

據(jù)悉，黑客通過(guò)多種渠道投放這一偽造應(yīng)用，包括釣魚郵件和搜索引擎的競(jìng)價(jià)排名廣告，誘導(dǎo)用戶下載。一旦用戶不慎中招，個(gè)人信息將面臨嚴(yán)重威脅。

Trellix的安全研究人員深入分析后發(fā)現(xiàn)，為了提升偽造應(yīng)用的可信度，黑客甚至盜用了“GitHub, Inc”和“Microsoft Public RSA Time Stamping Authority”的名義進(jìn)行應(yīng)用簽名，意圖蒙混過(guò)關(guān)。

Fickle Stealer勒索軟件采用Rust語(yǔ)言編寫，功能強(qiáng)大且隱蔽。它能夠悄無(wú)聲息地從受害者的瀏覽器和其他應(yīng)用程序中搜集賬號(hào)密碼、瀏覽歷史、信用卡數(shù)據(jù)等敏感信息。

更為狡猾的是，該軟件利用PowerShell腳本繞過(guò)了用戶賬戶控制（UAC），并具備逃避安全軟件檢測(cè)的能力。即使在攻擊行為被揭露后，它也能通過(guò)制造虛假錯(cuò)誤信息來(lái)掩蓋自身行蹤，并自我刪除以銷毀證據(jù)。

Fickle Stealer還采用了一種獨(dú)特的打包工具來(lái)混淆其惡意代碼，使得常規(guī)的靜態(tài)分析工具和檢測(cè)方法難以識(shí)別其真實(shí)面目。同時(shí)，黑客還引入了反沙盒技術(shù)，以確保該軟件在沙盒環(huán)境中不會(huì)被安全公司輕易分析，顯示出了較高的反偵察能力。