Slevová nabídka pro více licencí
Databáze hrozeb Malware Škodlivý software EDDIESTEALER

Škodlivý software EDDIESTEALER

V roce Mezo v roce Malware
Přeložit do:

Objevila se nová malwarová kampaň, která distribuuje pokročilý program pro krádež informací založený na platformě Rust, známý jako EDDIESTEALER. Útočníci využívají chytrou taktiku sociálního inženýrství s názvem ClickFix a lákají uživatele prostřednictvím falešných ověřovacích stránek CAPTCHA, aby spustili škodlivé skripty. Jakmile je EDDIESTEALER aktivní, shromažďuje citlivá data, jako jsou přihlašovací údaje, data prohlížeče a podrobnosti o kryptoměnových peněženkách.

Řetězec infekce: Od falešné CAPTCHA k plnohodnotnému informačnímu zloději

Útok začíná napadením legitimních webových stránek škodlivým kódem JavaScript. Návštěvníkům se zobrazí falešná stránka CAPTCHA, která je vyzve k „prokázání, že nejste robot“, a to pomocí tříkrokového procesu.
Proces zahrnuje:

  • Otevření dialogového okna Spustit ve Windows.
  • Vložení předkopírovaného příkazu.
  • Spouštějí to, aby se ověřili.

Tento zdánlivě neškodný akt spustí zahalený příkaz PowerShellu, který načte datovou část další fáze ze vzdáleného serveru (llll[.]fit).

Nasazení datového zatížení a nenápadné spuštění

Škodlivý JavaScript (gverify.js) je uložen do složky Stažení oběti a tiše spuštěn pomocí cscriptu. Úlohou tohoto zprostředkujícího skriptu je načíst binární soubor EDDIESTEALER ze stejného vzdáleného serveru a uložit jej s náhodným 12místným názvem souboru do složky Stažení.

Malware EDDIESTEALER je schopen:

  • Shromažďovat systémová metadata.
  • Přijímat instrukce ze serveru velení a řízení (C2).
  • Z infikovaného systému odhalte data, včetně dat prohlížeče, kryptoměnových peněženek, správců hesel, FTP klientů a aplikací pro zasílání zpráv.

Cíle lze upravit operátorem C2. Přístup k souborům je řešen pomocí standardních funkcí kernel32.dll, jako jsou CreateFileW, GetFileSizeEx, ReadFile a CloseHandle.

Funkce pro exfiltraci dat a antianalýzu

Po každém úkolu jsou shromážděná data zašifrována a odeslána na server C2 prostřednictvím samostatných požadavků HTTP POST. Aby malware zůstal nenápadný, používá:

  • Šifrování řetězců.
  • Vlastní vyhledávací mechanismus WinAPI pro řešení volání API.
  • Mutex, který zajistí spuštění pouze jedné instance.
  • Kontroluje sandboxová prostředí a v případě zjištění se smaže.

EDDIESTEALER se dokonce dokáže sám smazat přejmenováním alternativních datových toků NTFS, podobně jako malware Latrodectus, který obejde zámky souborů.

Využití Chromu pomocí ChromeKatz

Jednou z nejznepokojivějších vlastností malwaru je jeho schopnost obejít šifrování aplikací v prohlížeči Chromium. Integruje implementaci ChromeKatz v Rustu, což je open-source nástroj určený k ukládání souborů cookie a přihlašovacích údajů z prohlížečů založených na Chromiu.

Pokud cílový prohlížeč neběží, EDDIESTEALER spustí skrytou instanci prohlížeče pomocí příkazu '--window-position=-3000,-3000 https://google.com'. To mu umožní přístup k paměti spojené s podřízeným procesem '-utility-sub-type=network.mojom.NetworkService' a nakonec extrahuje přihlašovací údaje.

Rozšířené možnosti v aktualizovaných variantách

Novější verze EDDIESTEALER mohou také shromažďovat:

  • Spuštěné procesy.
  • Detaily grafického procesoru.
  • Počet jader CPU, název CPU a dodavatel.
  • Systémové informace (odeslány na server ještě před konfigurací úlohy).

Šifrovací klíč používaný pro komunikaci mezi klientem a serverem je navíc pevně zakódován v binárním souboru, což zvyšuje provozní bezpečnost. Útočník může také spustit nový proces Chrome s parametrem '--remote-debugging-port=', aby umožnil bezhlavou interakci s prohlížečem přes protokol DevTools bez nutnosti interakce s uživatelem.

Multiplatformní kampaň ClickFix

Použití Rustu pro EDDIESTEALER zdůrazňuje rostoucí trend mezi vývojáři malwaru, kteří využívají moderní jazykové prvky pro nenápadnost, stabilitu a vyhýbání se detekci.

Tato kampaň je součástí širšího úsilí útočníků o využití taktiky ClickFix napříč různými platformami. Výzkumníci z c/side pozorovali podobné útoky zaměřené na macOS, Android a iOS. V systému macOS škodlivý JavaScript přesměrovává oběti na stránku, která jim dává pokyn ke spuštění skriptu terminálového shellu a nasazení škodlivého kódu Atomic macOS Stealer (AMOS).

Pro návštěvníky s Androidem, iOS a Windows systém stahování dat z počítače využívá samostatný trojský kůň, což z něj činí vysoce všestrannou a multiplatformní hrozbu.

Závěr

Kampaň EDDIESTEALER demonstruje účinnost sociálního inženýrství v kombinaci se sofistikovaným vývojem malwaru. Její pokročilé jádro založené na platformě Rust, multiplatformní adaptabilita a schopnost obejít ochranu prohlížeče zdůrazňují rostoucí potřebu, aby organizace i jednotlivci zůstali ostražití a proaktivní ve svém přístupu k kybernetické bezpečnosti.

Trendy

Nejvíce shlédnuto

Načítání...