EDDIESTEALER Malware
En ny malwarekampagne er dukket op, der distribuerer en avanceret Rust-baseret informationstyveri-kampagne kendt som EDDIESTEALER. Ved at udnytte en smart social engineering-taktik kaldet ClickFix lokker angribere brugere via falske CAPTCHA-bekræftelsessider for at udføre ondsindede scripts. Når den er aktiv, indsamler EDDIESTEALER følsomme data såsom legitimationsoplysninger, browserdata og oplysninger om kryptovaluta-wallets.
Indholdsfortegnelse
Infektionskæde: Fra falsk CAPTCHA til fuldgyldig infostyver
Angrebet starter med, at legitime websteder kompromitteres med ondsindede JavaScript-nyttelaster. Besøgende får vist en falsk CAPTCHA-side, der beder dem om at "bevise, at de ikke er en robot" via en tretrinsproces.
Processen involverer:
- Åbner Windows Kør-dialogboksen.
- Indsætter en forudkopieret kommando.
- Udfører det for at verificere sig selv.
Denne tilsyneladende harmløse handling udløser en forvirret PowerShell-kommando, der henter en next-stage-nyttelast fra en fjernserver (llll[.]fit).
Nyttelastimplementering og skjult udførelse
Det ondsindede JavaScript (gverify.js) gemmes i offerets Downloads-mappe og udføres lydløst ved hjælp af cscript. Dette mellemliggende scripts rolle er at hente EDDIESTEALER-binærfilen fra den samme eksterne server og gemme den med et tilfældigt filnavn på 12 tegn i Downloads-mappen.
EDDIESTEALER-malwaren er i stand til at:
- Indsaml systemmetadata.
- Modtag instruktioner fra en kommando-og-kontrol (C2) server.
- Eksfiltrer data fra det inficerede system, herunder browserdata, kryptovaluta-tegnebøger, adgangskodeadministratorer, FTP-klienter og beskedapps.
Mål kan justeres af C2-operatoren. Filadgang håndteres ved hjælp af standard kernel32.dll-funktioner som CreateFileW, GetFileSizeEx, ReadFile og CloseHandle.
Dataudfiltrering og antianalysefunktioner
Efter hver opgave krypteres de indsamlede data og sendes til C2-serveren via separate HTTP POST-anmodninger. For at holde sig under radaren bruger malwaren:
- Strengkryptering.
EDDIESTEALER kan endda slette sig selv ved at omdøbe NTFS Alternate Data Streams, svarende til teknikker brugt af Latrodectus-malware, for at omgå fillåse.
Chromium-udnyttelse med ChromeKatz
En af malwarens mest bekymrende funktioner er dens evne til at omgå Chromiums app-bundne kryptering. Den integrerer en Rust-implementering af ChromeKatz, et open source-værktøj designet til at dumpe cookies og legitimationsoplysninger fra Chromium-baserede browsere.
Hvis den pågældende browser ikke kører, starter EDDIESTEALER en skjult browserinstans ved hjælp af kommandoen '--window-position=-3000,-3000 https://google.com'. Dette giver den adgang til hukommelse, der er knyttet til underprocessen '-utility-sub-type=network.mojom. NetworkService', og udtrækker i sidste ende legitimationsoplysninger.
Udvidede muligheder i opdaterede varianter
Nyere versioner af EDDIESTEALER kan også indsamle:
- Kørende processer.
- GPU-detaljer.
- Antal CPU-kerner, CPU-navn og leverandør.
- Systemoplysninger (sendes til serveren selv før opgavekonfiguration).
Derudover er krypteringsnøglen, der bruges til klient-til-server-kommunikation, hardkodet ind i den binære fil, hvilket forbedrer den operationelle sikkerhed. Stealeren kan også starte en ny Chrome-proces med '--remote-debugging-port=' for at muliggøre headless browserinteraktioner via DevTools-protokollen, uden at brugerinteraktion kræves.
ClickFix-kampagne på tværs af platforme
Brugen af Rust til EDDIESTEALER fremhæver en voksende tendens blandt malwareudviklere, der udnytter moderne sprogfunktioner til stealth, stabilitet og undgåelse af detektion.
Denne kampagne er en del af en bredere indsats fra angribere for at udnytte ClickFix-taktikker på tværs af flere platforme. Forskere hos c/side har observeret lignende angreb rettet mod macOS, Android og iOS. For macOS omdirigerer den ondsindede JavaScript-kode til en side, der instruerer ofrene i at køre et Terminal-shell-script og implementerer Atomic macOS Stealer (AMOS).
For Android-, iOS- og Windows-brugere implementerer et drive-by-download-system en separat trojansk malware, hvilket gør dette til en yderst alsidig og platformsuafhængig trussel.
Konklusion
EDDIESTEALER-kampagnen demonstrerer effektiviteten af social engineering kombineret med sofistikeret malwareudvikling. Dens avancerede Rust-baserede kerne, tilpasningsevne på tværs af platforme og evnen til at omgå browserbeskyttelser fremhæver det voksende behov for, at organisationer og enkeltpersoner forbliver årvågne og proaktive i deres cybersikkerhedspolitik.
