11 月 12 日消息，安全公司 Trellix 發(fā)文，報告有黑客將勒索軟件 Fickle Stealer 偽造成 GitHub 桌面端應(yīng)用，通過釣魚郵件、搜索引擎競價排名廣告等方式向外界投放，用戶稍有不慎下載就會中招。

安全公司解析這一山寨 GitHub 應(yīng)用發(fā)現(xiàn)，黑客為了加強可信度，還冒用“GitHub, Inc”、“Microsoft Public RSA Time Stamping Authority”的名義對應(yīng)用進行簽名以蒙蔽用戶。

▲ 黑客使用的虛假應(yīng)用簽名（下同）

而在 Fickle Stealer 勒索軟件本身方面，IT之家獲悉該勒索軟件使用 Rust 語言開發(fā)，據(jù)稱能夠從受害者瀏覽器和多種應(yīng)用程序中收集賬號密碼、瀏覽記錄、信用卡信息等多項個人數(shù)據(jù)。

值得注意的是，該勒索軟件還會利用 PowerShell 腳本繞過用戶賬戶控制（UAC），同時具備規(guī)避安全軟件檢測的功能，甚至能夠在攻擊行為暴露后能通過偽造錯誤信息進行掩蓋并自我刪除。

▲ 黑客攻擊原理

研究人員還提到，F(xiàn)ickle Stealer 的一項關(guān)鍵機制是利用自制的打包工具混淆惡意代碼，使得靜態(tài)分析工具和傳統(tǒng)檢測方法無法識別。黑客還引入了反沙盒技術(shù)，避免相關(guān)軟件能夠在沙盒環(huán)境中被安全公司所分析，具備一定的反偵察意識。