Um novo malware baseado em Rust, chamado Fickle Stealer, foi observado sendo distribuído por meio de várias cadeias de ataque com o objetivo de coletar informações sensíveis de sistemas comprometidos. Os laboratórios Fortinet identificaram quatro métodos de distribuição: VBA dropper, VBA downloader, link downloader e executable downloader. Alguns desses métodos utilizam um script PowerShell para contornar o Controle de Conta de Usuário (UAC) e executar o Fickle Stealer.

O script PowerShell é projetado para enviar periodicamente informações sobre a vítima, incluindo país, cidade, endereço IP, versão do sistema operacional, nome do computador e nome de usuário para um bot do Telegram controlado pelo atacante. A carga do malware, protegida por um empacotador, realiza uma série de verificações anti-análise para determinar se está sendo executado em um ambiente de sandbox ou máquina virtual, e depois se comunica com um servidor remoto para exfiltrar dados em forma de strings JSON. Fickle Stealer coleta informações de carteiras de criptomoedas, navegadores baseados em Chromium e Gecko (Google Chrome, Microsoft Edge, Brave, Vivaldi e Mozilla Firefox), e aplicativos como AnyDesk, Discord, FileZilla, Signal, Skype, Steam e Telegram.

Simultaneamente, a Symantec revelou detalhes sobre um malware open-source chamado AZStealer, que também rouba uma variedade de informações e está disponível no GitHub. Este malware é anunciado como o “melhor stealer de Discord não detectado”.