11 月 12 日消息，安全公司 Trellix 發(fā)文，報告有黑客將勒索軟件 Fickle Stealer 偽造成 GitHub 桌面端應(yīng)用，通過釣魚郵件、搜索引擎競價排名廣告等方式向外界投放，用戶稍有不慎下載就會中招。

安全公司解析這一山寨 GitHub 應(yīng)用發(fā)現(xiàn)，黑客為了加強(qiáng)可信度，還冒用“GitHub, Inc”、“Microsoft Public RSA Time Stamping Authority”的名義對應(yīng)用進(jìn)行簽名以蒙蔽用戶。

▲ 黑客使用的虛假應(yīng)用簽名（下同）

而在 Fickle Stealer 勒索軟件本身方面，獲悉該勒索軟件使用 Rust 語言開發(fā)，據(jù)稱能夠從受害者瀏覽器和多種應(yīng)用程序中收集賬號密碼、瀏覽記錄、信用卡信息等多項個人數(shù)據(jù)。

值得注意的是，該勒索軟件還會利用 PowerShell 腳本繞過用戶賬戶控制（UAC），同時具備規(guī)避安全軟件檢測的功能，甚至能夠在攻擊行為暴露后能通過偽造錯誤信息進(jìn)行掩蓋并自我刪除。

▲ 黑客攻擊原理

研究人員還提到，F(xiàn)ickle Stealer 的一項關(guān)鍵機(jī)制是利用自制的打包工具混淆惡意代碼，使得靜態(tài)分析工具和傳統(tǒng)檢測方法無法識別。黑客還引入了反沙盒技術(shù)，避免相關(guān)軟件能夠在沙盒環(huán)境中被安全公司所分析，具備一定的反偵察意識。