Anzeige

Malware

FickerStealer hat unter Cyberkriminellen schnell an Popularität gewonnen, da die Malware einen attraktiven Preis hat und sich von herkömmlichen Info-Stealern unterscheidet. Die CyberArk Labs zeigen die Differenzen auf und nennen Abwehrmaßnahmen..

FickerStealer ist ein Info-Stealer, der in Untergrundforen als MaaS (Malware-as-a-Service) zu einem Preis zwischen 90 und 900 US-Dollar angeboten wird. Sobald ein Käufer den Ficker-Service erwirbt, wird ein "On-Prem"-Paket bereitgestellt, das das C2-Server-Setup (Panel genannt) und die ausführbare Datei des Stealers (Build genannt) enthält. Danach muss der Käufer die Adresse des C2-Servers angeben, damit der Autor der Malware (der Verkäufer) die Malware (Build) so konfigurieren kann, dass sie mit dem C2-Server des Angreifers kommuniziert. 

Die Malware FickerStealer wird verwendet, um sensible Informationen zu stehlen, darunter Anmeldedaten, Kreditkarteninformationen, Kryptowährungs-Wallets und Browser-Informationen. Darüber hinaus kann FickerStealer als File Grabber fungieren und zusätzliche Dateien von einem kompromittierten Rechner sammeln. Nicht zuletzt kann er auch als Downloader genutzt werden, um weitere Malware herunterzuladen und auszuführen.

Die Besonderheit von FickerStealer besteht darin, dass die Malware in starkem Maße auf Obfuskation setzt und in Rust geschrieben ist. Letzteres erschwert die Analyse, da der Code anders kompiliert ist als mit C/C++. Darüber hinaus gibt es auch etliche Unterschiede zwischen Ficker und anderen Info-Stealern, die die Analyse und Abwehr zusätzlich erschweren. Dazu gehören:

  • Ficker hat keine Abhängigkeiten, das heißt, es müssen keine anderen DLLs wie etwa nss3.dll heruntergeladen werden. 
  • Der Kommunikationskanal mit dem C2-Server ist von der Client-Seite aus verschlüsselt – im Gegensatz zu den meisten Stealern, die auf das HTTP-Protokoll zurückgreifen und die Daten im Klartext senden. 
  • Ficker sendet die gestohlenen Daten nach jedem erfolgreichen Diebstahl und schreibt dabei keine Logs auf die Festplatte. Andere Stealer schreiben die gestohlenen Daten in einen temporären Ordner, komprimieren sie und senden sie als Zip-File an den C2-Server.
  • Mit der Downloader-Funktion können mehrere PE (Portable Executable)-Dateien heruntergeladen und ausgeführt werden.

Mit diesen Methoden versucht Ficker, seine Malware zuverlässiger und unauffälliger als bei anderen Info-Stealern zu gestalten. Um die mit solchen Angriffen verbundenen hohen Gefahren zu minimieren, sollten Unternehmen somit geeignete Sicherheitsmaßnahmen ergreifen: Dazu gehört vor allem der Schutz von Endgeräten mit einer Lösung, die eine anwendungs- und ereignisbezogene Vergabe von Zugriffsrechten unterstützt. Kernelemente sollten dabei die Durchsetzung von Least-Privilege-Richtlinien für Benutzer und Administratoren sowie die Kontrolle von Anwendungen sein. Auch mit der Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung für den Zugriff auf Unternehmensressourcen können die Sicherheitsrisiken deutlich reduziert werden.

„Wir gehen davon aus, dass FickerStealer aufgrund seiner Effizienz und Unterschiede zu anderen Stealern, von der Methode bis zur Programmiersprache Rust, eine hohe Attraktivität für Cyberkriminelle behalten wird“, erklärt Christian Götz, Director of Presales – DACH bei CyberArk. „Auch wenn es keine Anbieter und Tools gibt, die FickerStealer-Angriffe vollständig verhindern können, so gibt es doch einige Maßnahmen, die Unternehmen ergreifen sollten, um die Sicherheit deutlich zu erhöhen und das Risiko zu minimieren. Dazu gehört zum einen die Multi-Faktor-Authentifizierung. Sie sollte bei Applikationszugriffen aus Sicherheitsgründen verpflichtend sein. Zum anderen sollte eine starke Endgeräte-Absicherung vorhanden sein: mit der Umsetzung eines Least-Privilege- und Just-in-Time-Konzepts sowie einer strikten Anwendungssteuerung.“ 

www.cyberark.com/de/


Weitere Artikel

Hacker Corona

Corona-Virus als Treiber für Cyberangriffe

Tenable hat die Ergebnisse einer Studie veröffentlicht, nach der 78 % der deutschen Unternehmen die jüngsten geschäftsschädigenden Cyberangriffe auf Schwachstellen in Technologien zurückführen, die während der Corona-Pandemie eingeführt wurden.
Cyber Security

Cybercrime: Worum sich Unternehmen jetzt kümmern sollten

Online-Betrug ist so präsent wie nie zuvor. Allein im Bereich E-Commerce sind neun von zehn Händlern in Deutschland, Österreich und der Schweiz im vergangenen Jahr mit Betrug oder entsprechenden Versuchen konfrontiert worden, wie die Studie „Betrug im…
LKW

Fortschrittliche LKW-Technologie begünstigt Cyberangriffe

Je mehr Hightech in LKW-Flotten verbaut wird, desto effizienter wird das Flottenmanagement. Hinzu kommen Sicherheitsaspekte im Straßenverkehr. Doch mit der Vernetzung steigen auch die Risiken für einen Cyberangriff auf die Logistikbranche.
Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.