资安业者Fortinet上个月察觉名为Fickle的窃资软体，骇客以Rust为基础开发，不仅采用相当复杂的程式码撰写，并透过相当灵活的手段来挑选目标下手。

研究人员将攻击行动大致区分成3个阶段：传送作案工具至目标电脑、部署前的准备工作，以及植入经过加壳处理的恶意酬载。

究竟骇客如何引诱受害者上钩，而能够传送作案工具，研究人员并未多做说明，但他们提及，对方利用4种管道传送Fickle，其中有两种是VBA巨集程式，一种是恶意软体投放工具（Dropper），另一种则是恶意程式下载工具（Downloader），其余两种管道，分别是伪装成URL捷径或执行档的下载器。

攻击者通常会运用上述管道，传送PowerShell指令码到受害电脑，档名通常是u.ps1或bypass.ps1，这些指令码定期向攻击者经营的Telegram机器人，传送受害电脑资讯。此外，对方也利用PowerShell指令码绕过使用者帐号控制（UAC）的防护机制。

针对透过VBA巨集发动的攻击，研究人员指出攻击链都是从Word档案开始。在使用恶意软体投放工具的攻击行动里，电脑会借由巨集载入XML档案，而这个档案埋藏在巨集的UserForm物件标题，一旦触发，此XML档案就会下载窃资软体并执行。

而透过VBA恶意程式下载工具的做法，研究人员看到3种型态的下载器，其中一种会直接下载PowerShell指令码，另一种则是滥用公用程式forfiles.exe，攻击者这么做的目的，是要突破目标电脑的cmd使用限制。

最后一种则是在使用者启用巨集的过程中，存取MSHTML档案，透过特定的URL载入攻击命令。

而在窃资软体的启动过程里，恶意酬载会执行一连串的检查，避免在沙箱或是虚拟机器运作，然后从加密货币钱包、Chrome、Firefox等浏览器，以及AnyDesk、Discord、FileZilla、Signal、Skype、Steam、Telegram等网路应用程式收集用户资讯，再者，该窃资软体也会从特定资料夹收集敏感资料，并使用JSON字串外流资料。

特别的是，攻击者也能透过远端伺服器指定收集的资料标的，使得窃取资料的范围变得更加弹性。