FickerStealer hat unter Cyberkriminellen schnell an Popularität gewonnen, da die Malware einen attraktiven Preis hat und sich von herkömmlichen Info-Stealern unterscheidet. Die CyberArk Labs zeigen die Differenzen auf und nennen Abwehrmaßnahmen. Dazu gehören die Nutzung von Lösungen für die Endgerätesicherheit und die Multi-Faktor-Authentifizierung.
FickerStealer ist ein Info-Stealer, der in Untergrundforen als MaaS (Malware-as-a-Service) zu einem Preis zwischen 90 und 900 US-Dollar angeboten wird. Sobald ein Käufer den Ficker-Service erwirbt, wird ein "On-Prem"-Paket bereitgestellt, das das C2-Server-Setup (Panel genannt) und die ausführbare Datei des Stealers (Build genannt) enthält.
Danach muss der Käufer die Adresse des C2-Servers angeben, damit der Autor der Malware (der Verkäufer) die Malware (Build) so konfigurieren kann, dass sie mit dem C2-Server des Angreifers kommuniziert.
Die Malware FickerStealer wird verwendet, um sensible Informationen zu stehlen, darunter Anmeldedaten, Kreditkarteninformationen, Kryptowährungs-Wallets und Browser-Informationen. Darüber hinaus kann FickerStealer als File Grabber fungieren und zusätzliche Dateien von einem kompromittierten Rechner sammeln.
Nicht zuletzt kann er auch als Downloader genutzt werden, um weitere Malware herunterzuladen und auszuführen. Die Besonderheit von FickerStealer besteht darin, dass die Malware in starkem Maße auf Obfuskation setzt und in Rust geschrieben ist. Letzteres erschwert die Analyse, da der Code anders kompiliert ist als mit C/C++.
Darüber hinaus gibt es auch etliche Unterschiede zwischen Ficker und anderen Info-Stealern, die die Analyse und Abwehr zusätzlich erschweren.
Dazu gehören:
- Ficker hat keine Abhängigkeiten, das heißt, es müssen keine anderen DLLs wie etwa nss3.dll heruntergeladen werden.
- Der Kommunikationskanal mit dem C2-Server ist von der Client-Seite aus verschlüsselt – im Gegensatz zu den meisten Stealern, die auf das HTTP-Protokoll zurückgreifen und die Daten im Klartext senden.
- Ficker sendet die gestohlenen Daten nach jedem erfolgreichen Diebstahl und schreibt dabei keine Logs auf die Festplatte. Andere Stealer schreiben die gestohlenen Daten in einen temporären Ordner, komprimieren sie und senden sie als Zip-File an den C2-Server.
- Mit der Downloader-Funktion können mehrere PE (Portable Executable)-Dateien heruntergeladen und ausgeführt werden.
Mit diesen Methoden versucht Ficker, seine Malware zuverlässiger und unauffälliger als bei anderen Info-Stealern zu gestalten. Um die mit solchen Angriffen verbundenen hohen Gefahren zu minimieren, sollten Unternehmen somit geeignete Sicherheitsmaßnahmen ergreifen: Dazu gehört vor allem der Schutz von Endgeräten mit einer Lösung, die eine anwendungs- und ereignisbezogene Vergabe von Zugriffsrechten unterstützt.
Kernelemente sollten dabei die Durchsetzung von Least-Privilege-Richtlinien für Benutzer und Administratoren sowie die Kontrolle von Anwendungen sein. Auch mit der Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung für den Zugriff auf Unternehmensressourcen können die Sicherheitsrisiken deutlich reduziert werden.
„Wir gehen davon aus, dass FickerStealer aufgrund seiner Effizienz und Unterschiede zu anderen Stealern, von der Methode bis zur Programmiersprache Rust, eine hohe Attraktivität für Cyberkriminelle behalten wird“, erklärt Christian Götz, Director of Presales – DACH bei CyberArk.
„Auch wenn es keine Anbieter und Tools gibt, die FickerStealer-Angriffe vollständig verhindern können, so gibt es doch einige Maßnahmen, die Unternehmen ergreifen sollten, um die Sicherheit deutlich zu erhöhen und das Risiko zu minimieren. Dazu gehört zum einen die Multi-Faktor-Authentifizierung.“
„Sie sollte bei Applikationszugriffen aus Sicherheitsgründen verpflichtend sein. Zum anderen sollte eine starke Endgeräte-Absicherung vorhanden sein: mit der Umsetzung eines Least-Privilege- und Just-in-Time-Konzepts sowie einer strikten Anwendungssteuerung.“