De meeste soorten malware zijn ontworpen om uw inloggegevens te stelen, inclusief gevoelige informatie zoals uw creditcardgegevens en persoonlijke identiteit, en zelfs om uw bestanden te kapen. Malware dringt de computer van een persoon meestal discreet binnen, vaak via e-mailbijlagen, of vaker via social engineering-aanvallen.
Een bijzonder verontrustende vorm van malware is FickerStealer, een veelvoorkomend stuk software dat informatie steelt en sinds 2020 de ronde doet. Dus wat is het? Wat doet het? En als u getroffen bent, wat kunt u dan doen?
Wat is FickerStealer?
FickerStealer werd voor het eerst ontdekt in augustus 2020 op het dark web. Het is een populaire informatiedief, voornamelijk gericht op Windows-systemen, die voor het eerst werd verkocht als een malware-as-a-service (MaaS) programma op Telegram voor ongeveer $ 200. Destijds was FickerStealer beschikbaar met verschillende mogelijkheden, met een prijs die opliep tot $ 900.
FickerStealer kan gevoelige informatie stelen die is opgeslagen op de computer van een slachtoffer, waaronder:
- Adressen van cryptocurrency-portemonnees.
- Wachtwoorden van webbrowsers.
- Creditcard details.
- SSH-wachtwoorden of FTP-inloggegevens.
- Inlogwachtwoorden voor computers.
- Alle inloggegevens die zijn opgeslagen door Windows Credential Manager.
FickerStealer promootte zichzelf door te beweren dat het gevoelige informatie van meer dan 40 browsers kon stelen, waaronder alle populaire zoals Chrome, Opera, Firefox en Edge.
Nadat het een browser had gehackt, was de malware in staat gegevens te stelen en terug te sturen naar de afzender van de malware. Als je een FTP-client of een e-mailapp zoals Outlook of Thunderbird gebruikte, kon FickerStealer daar ook informatie van stelen.
En het is in staat om alle informatie van uw computer te verzamelen, inclusief de processor, geïnstalleerde applicaties, CPU-gebruik, en was ook in staat om screenshots te maken.
FickerStealer is geschreven in Rust en Assembly, programmeertalen die ongelooflijk efficiënt en snel laden. Rust zelf is een vrij complexe taal, waardoor het iets moeilijker is om te reverse-engineeren.
Kopers zouden toegang krijgen tot een webgebaseerd panel, waarmee ze alle informatie die ze van slachtoffers hadden gestolen, konden bekijken.
Hoe infecteert FickerStealer uw computer?
Zoals de meeste malware werd FickerStealer verspreid met behulp van verschillende technieken.
E-mail spamcampagnes
Deze e-mails zijn vaak zorgvuldig vermomd om iets waardevols aan te bieden, en als een nietsvermoedende persoon een bijlage downloadt, wordt de malware onmiddellijk in het bestandssysteem geïnjecteerd. Het is een van de meest gebruikelijke manieren waarop malware zich verspreidt.
Deze e-mails zijn vaak vermomd om er belangrijk uit te zien en kunnen zelfs officieel van aard lijken. Ze bevatten bijlagen die zijn vermomd als ogenschijnlijk onschuldige bestanden, inclusief .zip- of .rar-bijlagen. Maar zodra een persoon ze downloadt, voert het een script uit dat hun apparaat infecteert.
Niet-officiële downloads van gekraakte software
Schadelijke malware zoals FickerStealer wordt gewoonlijk verspreid via "gekraakte" of riskante softwaredownloads. Veel mensen downloaden gekraakte softwareprogramma's van niet-officiële bronnen, zoals het hosten van mirrors of torrents.
In de meeste gevallen zijn deze programma's geïnfecteerd met malware zoals FickerStealer. Om meer downloads aan te moedigen, beweren kwaadwillende actoren vaak gekraakte versies van populaire software zoals Microsoft Office of nieuwe videogames aan te bieden. Het is altijd belangrijk om voorzichtig te zijn controleer belangrijke dingen voordat u bestanden online downloadt, zoals de authenticiteit van de site.
FickerStealer kan zich ook gemakkelijk verspreiden via niet-officiële software-activeringstools. Deze worden gebruikt voor piraterij en zijn ontworpen om DRM-beperkingen op te heffen en om mensen in staat te stellen beperkte software te gebruiken zonder een licentiesleutel.
Een bekend voorbeeld is een Keygen of een sleutelgenerator. Ze bevatten vaak schadelijke bestanden en kunnen uw computer infecteren zodra u het programma uitvoert.
FickerStealer werd op deze manier zwaar verspreid. Omdat het werd verkocht als een MaaS, hadden kwaadwillende actoren de mogelijkheid om de mogelijkheden van het programma aan te passen op basis van hoe ze het wilden verspreiden.
Wat maakte FickerStealer zo populair?
In tegenstelling tot conventionele malware werd dit als service verkocht. Dus zodra de koper een deal had gesloten, ontvingen ze het aangepaste malwarepakket, inclusief de serverconfiguratie en het uitvoerbare bestand.
De malwaredistributeur had ook het adres van de C&C-server (command and control) nodig, zodat ze de code van de malware konden aanpassen om te communiceren met de server van de koper.
Omdat FickerStealer geen afhankelijkheden heeft, zou het kunnen werken zonder extra bibliotheken te downloaden, waardoor het ongelooflijk snel is. En, in tegenstelling tot andere malware, was het niet afhankelijk van het HTTP-protocol om te communiceren met de C&C-server.
De communicatie was aan de clientzijde volledig versleuteld met behulp van een XOR-rotatie, dus gegevens waren over het algemeen moeilijk te ontsleutelen. Wat nog belangrijker is, FickerStealer heeft nooit logboeken bijgehouden.
Zodra de malware de gegevens had gestolen, zou deze deze gewoon doorsturen naar de C&C-server, waardoor het veel moeilijker te detecteren is. Conventionele malware schrijft over het algemeen de gegevens en slaat deze op in een tijdelijke map voordat deze naar de C&C-server wordt verzonden.
Hoe FickerStealer te verwijderen
FickerStealer richt zich voornamelijk op Windows-systemen, dus de volgende suggesties zijn voornamelijk bedoeld voor gebruikers die dat systeem gebruiken.
Gebruik een robuuste antivirus-app
Antivirusbescherming is nodig om schadelijke software op uw computer te detecteren, in quarantaine te plaatsen en te verwijderen. Er zijn meerdere populaire antivirus-apps voor Windows 11, en het wordt ten zeerste aanbevolen dat u een gerenommeerde gebruikt, zoals Kaspersky, om uw computer te beschermen.
Als uw computer is geïnfecteerd met FickerStealer, zal uw antivirus dit detecteren en de geïnfecteerde bestanden verwijderen. Dit is misschien wel de belangrijkste stap, want in het geval van malware is voorkomen de beste remedie.
Antivirus-apps scannen uw computer regelmatig om malware of schadelijke programma's zoals computer wormenen plaats de geïnfecteerde bestanden vervolgens in quarantaine.
Formatteer uw bestandssysteem
Dit is over het algemeen geen aanbevolen methode, maar als je geen gevoelige bestanden op je computer hebt staan en FickerStealer wilt verwijderen, kunt u overwegen de harde schijf helemaal te formatteren. Dit zou echter echt de laatste maatregel moeten zijn die u overweegt.
Als u de schijf formatteert, worden alle bestanden op de schijf verwijderd, inclusief uw besturingssysteem (als het zich op dezelfde schijf bevindt), dus het kan zijn dat u opnieuw moet opstarten en het besturingssysteem opnieuw moet installeren.
Blijf veilig tijdens het surfen op internet
Malware verspreidt zich vaak via verdachte bestanden en e-mailbijlagen. Het is belangrijk dat u geen onbetrouwbare bestanden op uw computer downloadt, vooral niet van niet-officiële bronnen.
Als u een e-mail ontvangt van een niet-officiële bron, wees dan ook zeer voorzichtig bij het openen ervan. De meeste e-mailserviceproviders hebben nu tools voor het scannen op malware ingebouwd, zodat u een melding krijgt als een bestand is geïnfecteerd.
En als u een nieuwe interne schijf aansluit, hetzij een solid-state of een harde schijf, zorg er dan voor dat u deze formatteert voordat u deze gaat gebruiken.