近期新的窃资软件（Infostealer）不断出现，并采取多阶段攻击的手段，而能够绕过窗口操作系统及端点防护软件的侦测，并挖掘各式机敏数据，发送给攻击者。

例如，今年5月资安业者Trellix发现的Fickle Stealer，就是典型的例子。这款恶意程序以Rust打造而成，攻击者通过多种媒介进行散布，从而在浏览器及多种应用程序收集帐密数据、上网记录、信用卡数据等个资，特别的是，该恶意软件通过PowerShell脚本绕过用户帐户控制（UAC），并具备能回避杀毒软件侦测的机制，甚至能在东窗事发后显示错误消息掩饰，并自我删除。

研究人员提及，攻击者散布窃资软件的管道，涵盖钓鱼邮件的恶意附件、偷渡式下载（Drive-by Download）、漏洞利用工具包、社交工程，而且，他们也看到对方利用多种文件格式挟带恶意酬载，包括Word文档、运行档、Windows捷径档（LNK）。

值得一提的是，黑客将其伪装成Windows版GitHub应用程序，并带有无效签章。他们使用GitHub, Inc的名义进行签章，而第二签章则是署名为Microsoft Public RSA Time Stamping Authority，攻击者这么做的目的，显然是企图让此恶意程序的来源看起来合法。

而针对攻击者运行Fickle Stealer的方式，研究人员提及是采用多阶段攻击链进行，过程中利用VBA打造的恶意程序加载工具（Dropper）与下载工具（Downloader），而这些工具运作的过程，都会利用操作系统的漏洞来达成目的。

研究人员提及其中一项Fickle Stealer的关键机制，是运用自制的打包工具混淆恶意代码，使得静态分析工具及传统侦测方法误以为其正常。再者，攻击者也导入反沙箱机制，使得恶意酬载能逃出沙箱环境之外，或以调试工具运作，并且借由产生误导的错误消息，以及检查分析指针（indicators of analysis），使得Fickle Stealer在受害者电脑收集数据的当下，还能成功回避资安侦测。