Anzeige

Malware

FickerStealer hat unter Cyberkriminellen schnell an Popularität gewonnen, da die Malware einen attraktiven Preis hat und sich von herkömmlichen Info-Stealern unterscheidet. Die CyberArk Labs zeigen die Differenzen auf und nennen Abwehrmaßnahmen..

FickerStealer ist ein Info-Stealer, der in Untergrundforen als MaaS (Malware-as-a-Service) zu einem Preis zwischen 90 und 900 US-Dollar angeboten wird. Sobald ein Käufer den Ficker-Service erwirbt, wird ein "On-Prem"-Paket bereitgestellt, das das C2-Server-Setup (Panel genannt) und die ausführbare Datei des Stealers (Build genannt) enthält. Danach muss der Käufer die Adresse des C2-Servers angeben, damit der Autor der Malware (der Verkäufer) die Malware (Build) so konfigurieren kann, dass sie mit dem C2-Server des Angreifers kommuniziert. 

Die Malware FickerStealer wird verwendet, um sensible Informationen zu stehlen, darunter Anmeldedaten, Kreditkarteninformationen, Kryptowährungs-Wallets und Browser-Informationen. Darüber hinaus kann FickerStealer als File Grabber fungieren und zusätzliche Dateien von einem kompromittierten Rechner sammeln. Nicht zuletzt kann er auch als Downloader genutzt werden, um weitere Malware herunterzuladen und auszuführen.

Die Besonderheit von FickerStealer besteht darin, dass die Malware in starkem Maße auf Obfuskation setzt und in Rust geschrieben ist. Letzteres erschwert die Analyse, da der Code anders kompiliert ist als mit C/C++. Darüber hinaus gibt es auch etliche Unterschiede zwischen Ficker und anderen Info-Stealern, die die Analyse und Abwehr zusätzlich erschweren. Dazu gehören:

  • Ficker hat keine Abhängigkeiten, das heißt, es müssen keine anderen DLLs wie etwa nss3.dll heruntergeladen werden. 
  • Der Kommunikationskanal mit dem C2-Server ist von der Client-Seite aus verschlüsselt – im Gegensatz zu den meisten Stealern, die auf das HTTP-Protokoll zurückgreifen und die Daten im Klartext senden. 
  • Ficker sendet die gestohlenen Daten nach jedem erfolgreichen Diebstahl und schreibt dabei keine Logs auf die Festplatte. Andere Stealer schreiben die gestohlenen Daten in einen temporären Ordner, komprimieren sie und senden sie als Zip-File an den C2-Server.
  • Mit der Downloader-Funktion können mehrere PE (Portable Executable)-Dateien heruntergeladen und ausgeführt werden.

Mit diesen Methoden versucht Ficker, seine Malware zuverlässiger und unauffälliger als bei anderen Info-Stealern zu gestalten. Um die mit solchen Angriffen verbundenen hohen Gefahren zu minimieren, sollten Unternehmen somit geeignete Sicherheitsmaßnahmen ergreifen: Dazu gehört vor allem der Schutz von Endgeräten mit einer Lösung, die eine anwendungs- und ereignisbezogene Vergabe von Zugriffsrechten unterstützt. Kernelemente sollten dabei die Durchsetzung von Least-Privilege-Richtlinien für Benutzer und Administratoren sowie die Kontrolle von Anwendungen sein. Auch mit der Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung für den Zugriff auf Unternehmensressourcen können die Sicherheitsrisiken deutlich reduziert werden.

„Wir gehen davon aus, dass FickerStealer aufgrund seiner Effizienz und Unterschiede zu anderen Stealern, von der Methode bis zur Programmiersprache Rust, eine hohe Attraktivität für Cyberkriminelle behalten wird“, erklärt Christian Götz, Director of Presales – DACH bei CyberArk. „Auch wenn es keine Anbieter und Tools gibt, die FickerStealer-Angriffe vollständig verhindern können, so gibt es doch einige Maßnahmen, die Unternehmen ergreifen sollten, um die Sicherheit deutlich zu erhöhen und das Risiko zu minimieren. Dazu gehört zum einen die Multi-Faktor-Authentifizierung. Sie sollte bei Applikationszugriffen aus Sicherheitsgründen verpflichtend sein. Zum anderen sollte eine starke Endgeräte-Absicherung vorhanden sein: mit der Umsetzung eines Least-Privilege- und Just-in-Time-Konzepts sowie einer strikten Anwendungssteuerung.“ 

www.cyberark.com/de/


Weitere Artikel

Supply Chain

Attacken auf die Software-Supply-Chain haben sich verdreifacht

Aqua Security, ein Anbieter cloudnativer Security, gab heute die Ergebnisse der aktuellen Studie „Software Supply Chain Security Review“ über Angriffe auf Software-Supply-Chains bekannt. Die Experten konnten über einen Zeitraum von sechs Monaten feststellen,…
Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.
Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.