برنامج EDDIESTEALER الخبيث
ظهرت حملة برمجيات خبيثة جديدة، تُوزّع برنامجًا متقدمًا لسرقة المعلومات، قائمًا على Rust، يُعرف باسم EDDIESTEALER. باستخدام تكتيك هندسة اجتماعية ذكي يُسمى ClickFix، يجذب المهاجمون المستخدمين عبر صفحات تحقق CAPTCHA مزيفة لتنفيذ نصوص برمجية خبيثة. بمجرد تفعيله، يجمع EDDIESTEALER بيانات حساسة، مثل بيانات الاعتماد وبيانات المتصفح وتفاصيل محفظة العملات المشفرة.
جدول المحتويات
سلسلة العدوى: من رموز التحقق المزيفة إلى سارق المعلومات الكامل
يبدأ الهجوم باختراق مواقع إلكترونية شرعية ببرمجيات جافا سكريبت خبيثة. يُعرض للزوار صفحة CAPTCHA مزيفة تطلب منهم "إثبات أنهم ليسوا روبوتًا" عبر عملية من ثلاث خطوات.
تتضمن العملية:
- فتح مربع الحوار "تشغيل" في Windows.
- لصق أمر تم نسخه مسبقًا.
- تنفيذه للتحقق من أنفسهم.
يؤدي هذا الفعل الذي يبدو غير ضار إلى تشغيل أمر PowerShell غامض يقوم بجلب حمولة المرحلة التالية من خادم بعيد (llll[.]fit).
نشر الحمولة والتنفيذ الخفي
يُحفظ ملف جافا سكريبت الخبيث (gverify.js) في مجلد التنزيلات الخاص بالضحية، ويُنفَّذ بصمت باستخدام cscript. يتمثل دور هذا البرنامج النصي الوسيط في استرداد ملف EDDIESTEALER الثنائي من الخادم البعيد نفسه، وحفظه باسم ملف عشوائي مكون من 12 حرفًا في مجلد التنزيلات.
تتمتع البرامج الضارة EDDIESTEALER بالقدرة على:
- جمع بيانات التعريف الخاصة بالنظام.
- تلقي التعليمات من خادم القيادة والتحكم (C2).
- استخراج البيانات من النظام المصاب، بما في ذلك بيانات المتصفح، ومحافظ العملات المشفرة، ومديري كلمات المرور، وعملاء FTP، وتطبيقات المراسلة.
يمكن تعديل الأهداف بواسطة مُشغِّل C2. يتم التعامل مع الوصول إلى الملفات باستخدام دوال kernel32.dll القياسية مثل CreateFileW وGetFileSizeEx وReadFile وCloseHandle.
ميزات استخراج البيانات ومنع التحليل
بعد كل مهمة، تُشفَّر البيانات المُجمَّعة وتُرسَل إلى خادم C2 عبر طلبات HTTP POST مُنفصلة. وللتخفّي عن الرادار، يستخدم البرنامج الخبيث ما يلي:
- تشفير السلسلة.
يمكن لـ EDDIESTEALER أيضًا حذف نفسه عن طريق إعادة تسمية تدفقات البيانات البديلة لـ NTFS، على غرار التقنيات التي يستخدمها برنامج Latrodectus الخبيث، لتجاوز أقفال الملفات.
استغلال الكروميوم باستخدام ChromeKatz
من أبرز ميزات هذا البرنامج الخبيث قدرته على تجاوز تشفير تطبيقات كروميوم. فهو يدمج تطبيقًا لـ ChromeKatz، وهو أداة مفتوحة المصدر مصممة لاستخراج ملفات تعريف الارتباط وبيانات الاعتماد من متصفحات كروميوم.
إذا لم يكن المتصفح المستهدف قيد التشغيل، يُشغّل EDDIESTEALER نسخة متصفح مخفية باستخدام الأمر '--window-position=-3000,-3000 https://google.com'. يسمح هذا له بالوصول إلى الذاكرة المرتبطة بالعملية الفرعية '-utility-sub-type=network.mojom.NetworkService'، واستخراج بيانات الاعتماد في النهاية.
إمكانيات موسعة في الإصدارات المحدثة
يمكن للإصدارات الأخيرة من EDDIESTEALER أيضًا جمع:
- عمليات التشغيل.
- تفاصيل وحدة معالجة الرسوميات.
- عدد أنوية وحدة المعالجة المركزية، واسم وحدة المعالجة المركزية، والبائع.
- معلومات النظام (يتم إرسالها إلى الخادم حتى قبل تكوين المهمة).
بالإضافة إلى ذلك، يُدمج مفتاح التشفير المُستخدم للاتصال بين العميل والخادم في الملف الثنائي، مما يُعزز أمان التشغيل. كما يُمكن للمُخترق تشغيل عملية كروم جديدة باستخدام '--remote-debugging-port=' لتمكين تفاعلات المتصفح بدون واجهة مستخدم عبر بروتوكول DevTools، دون الحاجة إلى تدخل المستخدم.
حملة ClickFix متعددة المنصات
يسلط استخدام Rust لـ EDDIESTEALER الضوء على اتجاه متزايد بين مطوري البرامج الضارة، والاستفادة من ميزات اللغة الحديثة للتخفي والاستقرار والتهرب من الاكتشاف.
هذه الحملة جزء من جهد أوسع نطاقًا يبذله المهاجمون لاستغلال أساليب ClickFix عبر منصات متعددة. وقد لاحظ باحثون في c/side هجمات مماثلة تستهدف أنظمة macOS وAndroid وiOS. بالنسبة لنظام macOS، يُعيد برنامج JavaScript الخبيث توجيه الضحايا إلى صفحة تُرشدهم لتشغيل نص برمجي لواجهة Terminal، باستخدام Atomic macOS Stealer (AMOS).
بالنسبة لزوار Android وiOS وWindows، يقوم مخطط التنزيل العشوائي بنشر برنامج ضار منفصل من نوع Trojan، مما يجعل هذا تهديدًا متعدد الاستخدامات ومتعدد الأنظمة الأساسية.
خاتمة
تُظهر حملة EDDIESTEALER فعالية الهندسة الاجتماعية جنبًا إلى جنب مع تطوير برامج ضارة متطورة. وتُبرز نواة البرنامج المتطورة القائمة على Rust، وقدرته على التكيف مع مختلف الأنظمة، وقدرته على تجاوز حماية المتصفحات، الحاجة المتزايدة للمؤسسات والأفراد إلى توخي الحذر واليقظة في وضعهم الأمني السيبراني.
