Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós EDDIESTEALER

Programari maliciós EDDIESTEALER

El Mezo el Programari maliciós
Traduir a:

Ha sorgit una nova campanya de programari maliciós, que distribueix un lladre d'informació avançat basat en Rust conegut com a EDDIESTEALER. Aprofitant una tàctica intel·ligent d'enginyeria social anomenada ClickFix, els atacants atrauen els usuaris a través de pàgines de verificació CAPTCHA falses per executar scripts maliciosos. Un cop actiu, EDDIESTEALER recopila dades sensibles com ara credencials, dades del navegador i detalls de carteres de criptomonedes.

Cadena d’infecció: del CAPTCHA fals al lladre d’informació en tota regla

L'atac comença amb llocs web legítims compromesos amb càrregues de JavaScript malicioses. Als visitants se'ls mostra una pàgina CAPTCHA falsa que els demana que "demostrin que no són un robot" mitjançant un procés de tres passos.
El procés implica:

  • Obrint el quadre de diàleg Executar de Windows.
  • Enganxar una ordre precopiada.
  • Executant-ho per verificar-se.

Aquest acte aparentment inocu desencadena una ordre de PowerShell ofuscada que obté una càrrega útil de la següent etapa d'un servidor remot (llll[.]fit).

Desplegament de càrrega útil i execució discreta

El JavaScript maliciós (gverify.js) es desa a la carpeta Descàrregues de la víctima i s'executa silenciosament mitjançant cscript. La funció d'aquest script intermedi és recuperar el binari EDDIESTEALER del mateix servidor remot, desant-lo amb un nom de fitxer aleatori de 12 caràcters a la carpeta Descàrregues.

El programari maliciós EDDIESTEALER és capaç de:

  • Recopilar metadades del sistema.
  • Rebre instruccions d'un servidor de comandament i control (C2).
  • Exfiltrar dades del sistema infectat, incloses les dades del navegador, els moneders de criptomonedes, els gestors de contrasenyes, els clients FTP i les aplicacions de missatgeria.

L'operador C2 pot ajustar els objectius. L'accés als fitxers es gestiona mitjançant funcions estàndard de kernel32.dll com ara CreateFileW, GetFileSizeEx, ReadFile i CloseHandle.

Funcions d’exfiltració de dades i antianàlisi

Després de cada tasca, les dades recollides es xifren i s'envien al servidor C2 mitjançant sol·licituds HTTP POST separades. Per mantenir-se desapercebut, el programari maliciós utilitza:

  • Xifratge de cadenes.
  • Un mecanisme de cerca personalitzat de WinAPI per resoldre crides a l'API.
  • Un mutex per garantir que només s'executi una instància.
  • Comprova si hi ha entorns de prova i s'elimina si es detecta.

EDDIESTEALER pot fins i tot suprimir-se a si mateix canviant el nom dels fluxos de dades alternatius NTFS, de manera similar a les tècniques utilitzades pel programari maliciós Latrodectus, per evitar els bloquejos de fitxers.

Explotació de crom amb ChromeKatz

Una de les característiques més preocupants del programari maliciós és la seva capacitat per eludir el xifratge de les aplicacions de Chromium. Integra una implementació Rust de ChromeKatz, una eina de codi obert dissenyada per abocar galetes i credencials de navegadors basats en Chromium.

Si el navegador de destinació no s'està executant, EDDIESTEALER inicia una instància oculta del navegador mitjançant l'ordre '--window-position=-3000,-3000 https://google.com'. Això li permet accedir a la memòria associada amb el procés fill '-utility-sub-type=network.mojom.NetworkService', extraient finalment les credencials.

Capacitats ampliades en variants actualitzades

Les versions recents d'EDDIESTEALER també poden recopilar:

  • Processos en execució.
  • Detalls de la GPU.
  • Nombre de nuclis de CPU, nom de la CPU i proveïdor.
  • Informació del sistema (enviada al servidor fins i tot abans de la configuració de la tasca).

A més, la clau de xifratge utilitzada per a la comunicació client-servidor està codificada al binari, cosa que millora la seguretat operativa. El lladre també pot iniciar un nou procés de Chrome amb '--remote-debugging-port=' per habilitar les interaccions sense capçalera del navegador a través del protocol DevTools, sense necessitat d'interacció de l'usuari.

Campanya ClickFix multiplataforma

L'ús de Rust per a EDDIESTEALER destaca una tendència creixent entre els desenvolupadors de programari maliciós, que aprofita les funcions de llenguatge modern per a la sigil·losi, l'estabilitat i l'evasió de la detecció.

Aquesta campanya forma part d'un esforç més ampli dels atacants per aprofitar les tàctiques de ClickFix en múltiples plataformes. Investigadors de c/side han observat atacs similars dirigits a macOS, Android i iOS. Per a macOS, el JavaScript maliciós redirigeix a una pàgina que indica a les víctimes que executin un script de shell de Terminal, implementant l'Atomic macOS Stealer (AMOS).

Per als visitants d'Android, iOS i Windows, un esquema de descàrrega automàtica implementa un programari maliciós troià separat, cosa que el converteix en una amenaça altament versàtil i multiplataforma.

Conclusió

La campanya EDDIESTEALER demostra l'eficàcia de l'enginyeria social combinada amb el desenvolupament sofisticat de programari maliciós. El seu nucli avançat basat en Rust, la seva adaptabilitat multiplataforma i la seva capacitat per eludir les proteccions del navegador destaquen la creixent necessitat que les organitzacions i els individus es mantinguin vigilants i proactius en la seva postura de ciberseguretat.

Tendència

Més vist

Carregant...