Kunden-News

Düsseldorf, 8. September 2021 – FickerStealer hat unter Cyberkriminellen schnell an Popularität gewonnen, da die Malware einen attraktiven Preis hat und sich von herkömmlichen Info-Stealern unterscheidet. Die CyberArk Labs zeigen die Differenzen auf und nennen Abwehrmaßnahmen. Dazu gehören die Nutzung von Lösungen für die Endgerätesicherheit und die Multi-Faktor-Authentifizierung. 

FickerStealer ist ein Info-Stealer, der in Untergrundforen als MaaS (Malware-as-a-Service) zu einem Preis zwischen 90 und 900 US-Dollar angeboten wird. Sobald ein Käufer den Ficker-Service erwirbt, wird ein „On-Prem“-Paket bereitgestellt, das das C2-Server-Setup (Panel genannt) und die ausführbare Datei des Stealers (Build genannt) enthält. Danach muss der Käufer die Adresse des C2-Servers angeben, damit der Autor der Malware (der Verkäufer) die Malware (Build) so konfigurieren kann, dass sie mit dem C2-Server des Angreifers kommuniziert.

Die Malware FickerStealer wird verwendet, um sensible Informationen zu stehlen, darunter Anmeldedaten, Kreditkarteninformationen, Kryptowährungs-Wallets und Browser-Informationen. Darüber hinaus kann FickerStealer als File Grabber fungieren und zusätzliche Dateien von einem kompromittierten Rechner sammeln. Nicht zuletzt kann er auch als Downloader genutzt werden, um weitere Malware herunterzuladen und auszuführen.

Die Besonderheit von FickerStealer besteht darin, dass die Malware in starkem Maße auf Obfuskation setzt und in Rust geschrieben ist. Letzteres erschwert die Analyse, da der Code anders kompiliert ist als mit C/C++. Darüber hinaus gibt es auch etliche Unterschiede zwischen Ficker und anderen Info-Stealern, die die Analyse und Abwehr zusätzlich erschweren. Dazu gehören:

• Ficker hat keine Abhängigkeiten, das heißt, es müssen keine anderen DLLs wie etwa nss3.dll heruntergeladen werden.
• Der Kommunikationskanal mit dem C2-Server ist von der Client-Seite aus verschlüsselt – im Gegensatz zu den meisten Stealern, die auf das HTTP-Protokoll zurückgreifen und die Daten im Klartext senden.
• Ficker sendet die gestohlenen Daten nach jedem erfolgreichen Diebstahl und schreibt dabei keine Logs auf die Festplatte. Andere Stealer schreiben die gestohlenen Daten in einen temporären Ordner, komprimieren sie und senden sie als Zip-File an den C2-Server.
• Mit der Downloader-Funktion können mehrere PE (Portable Executable)-Dateien heruntergeladen und ausgeführt werden.

Mit diesen Methoden versucht Ficker, seine Malware zuverlässiger und unauffälliger als bei anderen Info-Stealern zu gestalten. Um die mit solchen Angriffen verbundenen hohen Gefahren zu minimieren, sollten Unternehmen somit geeignete Sicherheitsmaßnahmen ergreifen: Dazu gehört vor allem der Schutz von Endgeräten mit einer Lösung, die eine anwendungs- und ereignisbezogene Vergabe von Zugriffsrechten unterstützt. Kernelemente sollten dabei die Durchsetzung von Least-Privilege-Richtlinien für Benutzer und Administratoren sowie die Kontrolle von Anwendungen sein. Auch mit der Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung für den Zugriff auf Unternehmensressourcen können die Sicherheitsrisiken deutlich reduziert werden.

„Wir gehen davon aus, dass FickerStealer aufgrund seiner Effizienz und Unterschiede zu anderen Stealern, von der Methode bis zur Programmiersprache Rust, eine hohe Attraktivität für Cyberkriminelle behalten wird“, erklärt Christian Götz, Director of Presales – DACH bei CyberArk. „Auch wenn es keine Anbieter und Tools gibt, die FickerStealer-Angriffe vollständig verhindern können, so gibt es doch einige Maßnahmen, die Unternehmen ergreifen sollten, um die Sicherheit deutlich zu erhöhen und das Risiko zu minimieren. Dazu gehört zum einen die Multi-Faktor-Authentifizierung. Sie sollte bei Applikationszugriffen aus Sicherheitsgründen verpflichtend sein. Zum anderen sollte eine starke Endgeräte-Absicherung vorhanden sein: mit der Umsetzung eines Least-Privilege- und Just-in-Time-Konzepts sowie einer strikten Anwendungssteuerung.“

Über CyberArk

CyberArk (NASDAQ: CYBR) ist das weltweit führende Unternehmen im Bereich Identity Security. Mit dem Privileged Access Management als Kernkomponente bietet CyberArk eine umfassende Sicherheit für jede – menschliche oder nicht-menschliche – Identität über Business-Applikationen, verteilte Arbeitsumgebungen, Hybrid-Cloud-Workloads und DevOps-Lifecycles hinweg. Weltweit führende Unternehmen setzen auf CyberArk bei der Sicherung ihrer kritischsten Daten, Infrastrukturen und Anwendungen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk. Das Unternehmen hat seinen Hauptsitz in Petach Tikvah (Israel) und Newton (Massachusetts, USA) und verfügt über weltweite Niederlassungen. In Deutschland ist CyberArk mit einem Standort in Düsseldorf vertreten. Weitere Informationen unter www.cyberark.de, im Unternehmens-Blog unter www.cyberark.com/blog, auf Twitter unter @CyberArk, auf Facebook unter www.facebook.com/CyberArk sowie auf Xing unter www.xing.com/companies/cyberarksoftwaregmbh.

Weitere Informationen

CyberArk
Nick Bowman
Sr. Manager, EMEA & APJ Corporate Communications
+44 7841 673378
nick.bowman@cyberark.com

PR-COM GmbH
Andrea Groß
Account Management
Tel. +49-89-59997-803
andrea.gross@pr-com.de
www.pr-com.de