Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер EDDIESTEALER Зловреден софтуер

EDDIESTEALER Зловреден софтуер

До Mezo през Зловреден софтуерг
Превод на:

Появи се нова злонамерена кампания, разпространяваща усъвършенстван крадец на информация, базиран на Rust, известен като EDDIESTEALER. Използвайки хитра тактика за социално инженерство, наречена ClickFix, нападателите примамват потребители чрез фалшиви CAPTCHA страници за проверка, за да изпълнят злонамерени скриптове. След като е активен, EDDIESTEALER събира чувствителни данни като идентификационни данни, данни от браузъра и подробности за портфейли с криптовалута.

Верига на заразяване: От фалшива CAPTCHA до пълноценен крадец на информация

Атаката започва с компрометиране на легитимни уебсайтове със злонамерени JavaScript файлове. На посетителите се показва фалшива CAPTCHA страница, която ги подканва да „докажат, че не са робот“ чрез триетапен процес.
Процесът включва:

  • Отваряне на диалоговия прозорец „Изпълнение“ на Windows.
  • Поставяне на предварително копирана команда.
  • Изпълняват го, за да се потвърдят.

Това на пръв поглед безобидно действие задейства обфусцирана PowerShell команда, която извлича полезен товар от следващия етап от отдалечен сървър (llll[.]fit).

Разгръщане на полезен товар и скрито изпълнение

Зловредният JavaScript код (gverify.js) се запазва в папката „Downloads“ на жертвата и се изпълнява тихо с помощта на cscript. Ролята на този междинен скрипт е да извлече двоичния файл EDDIESTEALER от същия отдалечен сървър, като го запази с произволно 12-символно име на файл в папката „Downloads“.

Зловредният софтуер EDDIESTEALER е способен на:

  • Събиране на системни метаданни.
  • Получаване на инструкции от сървър за командване и управление (C2).
  • Извличане на данни от заразената система, включително данни от браузъра, портфейли с криптовалута, мениджъри на пароли, FTP клиенти и приложения за съобщения.

Целите могат да бъдат коригирани от оператора C2. Достъпът до файлове се обработва с помощта на стандартните функции на kernel32.dll, като CreateFileW, GetFileSizeEx, ReadFile и CloseHandle.

Функции за извличане на данни и анти-анализ

След всяка задача събраните данни се криптират и изпращат до C2 сървъра чрез отделни HTTP POST заявки. За да остане незабелязан, зловредният софтуер използва:

  • Криптиране на низове.
  • Персонализиран механизъм за търсене в WinAPI за разрешаване на API повиквания.
  • Мютекс, за да се гарантира, че се изпълнява само един екземпляр.
  • Проверява за пясъчник и се изтрива, ако бъде открит.

EDDIESTEALER може дори да се самоизтрие, като преименува NTFS алтернативни потоци от данни, подобно на техниките, използвани от зловредния софтуер Latrodectus, за заобикаляне на заключването на файлове.

Експлоатация на Chromium с ChromeKatz

Една от най-тревожните характеристики на зловредния софтуер е способността му да заобикаля криптирането на Chromium, свързано с приложенията. Той интегрира Rust имплементация на ChromeKatz, инструмент с отворен код, предназначен за извличане на бисквитки и идентификационни данни от браузъри, базирани на Chromium.

Ако целевият браузър не работи, EDDIESTEALER стартира скрит екземпляр на браузър, използвайки командата „--window-position=-3000,-3000 https://google.com“. Това му позволява достъп до паметта, свързана с дъщерния процес „-utility-sub-type=network.mojom.NetworkService“, като в крайна сметка извлича идентификационни данни.

Разширени възможности в актуализираните варианти

Последните версии на EDDIESTEALER могат също да събират:

  • Изпълняващи се процеси.
  • Детайли за графичния процесор.
  • Брой ядра на процесора, име на процесора и производител.
  • Системна информация (изпратена до сървъра още преди конфигурирането на задачата).

Освен това, ключът за криптиране, използван за комуникация клиент-сървър, е твърдо кодиран в двоичния файл, което подобрява оперативната сигурност. Злоумишленикът може също да стартира нов процес в Chrome с '--remote-debugging-port=', за да позволи безконтактни взаимодействия с браузъра чрез DevTools Protocol, без да се изисква взаимодействие с потребителя.

Кросплатформена кампания ClickFix

Използването на Rust за EDDIESTEALER подчертава нарастваща тенденция сред разработчиците на зловреден софтуер, които използват съвременни езикови функции за скритост, стабилност и избягване на откриване.

Тази кампания е част от по-широкообхватни усилия на атакуващите да използват тактиките ClickFix на множество платформи. Изследователи от c/side са наблюдавали подобни атаки, насочени към macOS, Android и iOS. В macOS злонамереният JavaScript пренасочва към страница, която инструктира жертвите да изпълнят скрипт на терминална обвивка, внедрявайки Atomic macOS Stealer (AMOS).

За посетители с Android, iOS и Windows, схемата за изтегляне от машина използва отделен троянски зловреден софтуер, което го прави изключително гъвкава и междуплатформена заплаха.

Заключение

Кампанията EDDIESTEALER демонстрира ефективността на социалното инженерство, съчетано със сложна разработка на зловреден софтуер. Неговото усъвършенствано ядро, базирано на Rust, междуплатформената адаптивност и способността за заобикаляне на защитите на браузъра подчертават нарастващата нужда организациите и отделните лица да останат бдителни и проактивни в своята киберсигурност.

Тенденция

Berolorladentra.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Едно-единствено невнимателно кликване може да изложи потребителите на кибер заплахи, тактики или нещо по-лошо. Злонамерени лица непрекъснато усъвършенстват тактиките си, за да мамят, манипулират и...

Най-гледан

Зареждане...