Κακόβουλο λογισμικό EDDIESTEALER
Μια νέα καμπάνια κακόβουλου λογισμικού έχει εμφανιστεί, η οποία διανέμει ένα προηγμένο πρόγραμμα κλοπής πληροφοριών που βασίζεται στο Rust, γνωστό ως EDDIESTEALER. Αξιοποιώντας μια έξυπνη τακτική κοινωνικής μηχανικής που ονομάζεται ClickFix, οι εισβολείς παρασύρουν τους χρήστες μέσω ψεύτικων σελίδων επαλήθευσης CAPTCHA για να εκτελέσουν κακόβουλα σενάρια. Μόλις ενεργοποιηθεί, το EDDIESTEALER συλλέγει ευαίσθητα δεδομένα, όπως διαπιστευτήρια, δεδομένα προγράμματος περιήγησης και λεπτομέρειες για το πορτοφόλι κρυπτονομισμάτων.
Πίνακας περιεχομένων
Αλυσίδα Μόλυνσης: Από Ψεύτικο CAPTCHA σε Πλήρες Infostealer
Η επίθεση ξεκινά με την παραβίαση νόμιμων ιστοσελίδων με κακόβουλα φορτία JavaScript. Στους επισκέπτες εμφανίζεται μια ψεύτικη σελίδα CAPTCHA που τους ζητά να «αποδείξουν ότι δεν είναι ρομπότ» μέσω μιας διαδικασίας τριών βημάτων.
Η διαδικασία περιλαμβάνει:
- Άνοιγμα του παραθύρου διαλόγου Εκτέλεση των Windows.
- Επικόλληση μιας προ-αντιγραμμένης εντολής.
- Εκτελώντας το για να επαληθεύσουν τον εαυτό τους.
Αυτή η φαινομενικά αθώα πράξη ενεργοποιεί μια ασαφή εντολή PowerShell που ανακτά ένα ωφέλιμο φορτίο επόμενου σταδίου από έναν απομακρυσμένο διακομιστή (llll[.]fit).
Ανάπτυξη ωφέλιμου φορτίου και κρυφή εκτέλεση
Το κακόβουλο JavaScript (gverify.js) αποθηκεύεται στον φάκελο Downloads του θύματος και εκτελείται σιωπηλά χρησιμοποιώντας cscript. Ο ρόλος αυτού του ενδιάμεσου script είναι να ανακτήσει το δυαδικό αρχείο EDDIESTEALER από τον ίδιο απομακρυσμένο διακομιστή, αποθηκεύοντάς το με ένα τυχαίο όνομα αρχείου 12 χαρακτήρων στον φάκελο Downloads.
Το κακόβουλο λογισμικό EDDIESTEALER είναι ικανό για:
- Συλλογή μεταδεδομένων συστήματος.
- Λήψη οδηγιών από έναν διακομιστή Command-and-Control (C2).
- Αποσπάστε δεδομένα από το μολυσμένο σύστημα, συμπεριλαμβανομένων δεδομένων προγράμματος περιήγησης, πορτοφολιών κρυπτονομισμάτων, διαχειριστών κωδικών πρόσβασης, προγραμμάτων-πελατών FTP και εφαρμογών ανταλλαγής μηνυμάτων.
Οι στόχοι μπορούν να ρυθμιστούν από τον τελεστή C2. Η πρόσβαση στα αρχεία γίνεται χρησιμοποιώντας τυπικές συναρτήσεις kernel32.dll όπως CreateFileW, GetFileSizeEx, ReadFile και CloseHandle.
Χαρακτηριστικά εξαγωγής δεδομένων και αντι-ανάλυσης
Μετά από κάθε εργασία, τα δεδομένα που συλλέγονται κρυπτογραφούνται και αποστέλλονται στον διακομιστή C2 μέσω ξεχωριστών αιτημάτων HTTP POST. Για να παραμείνει απαρατήρητο, το κακόβουλο λογισμικό χρησιμοποιεί:
- Κρυπτογράφηση συμβολοσειρών.
Το EDDIESTEALER μπορεί ακόμη και να διαγραφεί ο ίδιος μετονομάζοντας τις εναλλακτικές ροές δεδομένων NTFS, παρόμοια με τις τεχνικές που χρησιμοποιούνται από το κακόβουλο λογισμικό Latrodectus, για να παρακάμψει τα κλειδώματα αρχείων.
Αξιοποίηση Chromium με ChromeKatz
Ένα από τα πιο ανησυχητικά χαρακτηριστικά του κακόβουλου λογισμικού είναι η ικανότητά του να παρακάμπτει την κρυπτογράφηση που συνδέεται με εφαρμογές του Chromium. Ενσωματώνει μια υλοποίηση Rust του ChromeKatz, ενός εργαλείου ανοιχτού κώδικα που έχει σχεδιαστεί για την απόρριψη cookies και διαπιστευτηρίων από προγράμματα περιήγησης που βασίζονται στο Chromium.
Εάν το στοχευμένο πρόγραμμα περιήγησης δεν εκτελείται, το EDDIESTEALER εκκινεί μια κρυφή παρουσία προγράμματος περιήγησης χρησιμοποιώντας την εντολή '--window-position=-3000,-3000 https://google.com'. Αυτό του επιτρέπει να έχει πρόσβαση στη μνήμη που σχετίζεται με την θυγατρική διεργασία '-utility-sub-type=network.mojom.NetworkService', εξάγοντας τελικά διαπιστευτήρια.
Διευρυμένες δυνατότητες σε ενημερωμένες παραλλαγές
Οι πρόσφατες εκδόσεις του EDDIESTEALER μπορούν επίσης να συλλέξουν:
- Εκτέλεση διεργασιών.
- Λεπτομέρειες GPU.
- Αριθμός πυρήνων CPU, όνομα CPU και προμηθευτής.
- Πληροφορίες συστήματος (αποστέλλονται στον διακομιστή ακόμη και πριν από τη διαμόρφωση της εργασίας).
Επιπλέον, το κλειδί κρυπτογράφησης που χρησιμοποιείται για την επικοινωνία μεταξύ client και server είναι ενσωματωμένο στο δυαδικό αρχείο, ενισχύοντας την επιχειρησιακή ασφάλεια. Ο κλέφτης μπορεί επίσης να εκκινήσει μια νέα διεργασία Chrome με '--remote-debugging-port=' για να ενεργοποιήσει τις αλληλεπιδράσεις του προγράμματος περιήγησης χωρίς κεφαλαία μέσω του πρωτοκόλλου DevTools, χωρίς να απαιτείται αλληλεπίδραση χρήστη.
Καμπάνια ClickFix σε διάφορες πλατφόρμες
Η χρήση του Rust για το EDDIESTEALER υπογραμμίζει μια αυξανόμενη τάση μεταξύ των προγραμματιστών κακόβουλου λογισμικού, οι οποίοι αξιοποιούν σύγχρονα χαρακτηριστικά γλώσσας για μυστικότητα, σταθερότητα και αποφυγή ανίχνευσης.
Αυτή η καμπάνια αποτελεί μέρος μιας ευρύτερης προσπάθειας των εισβολέων να αξιοποιήσουν τις τακτικές ClickFix σε πολλαπλές πλατφόρμες. Ερευνητές στο c/side έχουν παρατηρήσει παρόμοιες επιθέσεις που στοχεύουν macOS, Android και iOS. Για το macOS, η κακόβουλη JavaScript ανακατευθύνει σε μια σελίδα που δίνει οδηγίες στα θύματα να εκτελέσουν ένα σενάριο κελύφους τερματικού, αναπτύσσοντας το Atomic macOS Stealer (AMOS).
Για τους επισκέπτες Android, iOS και Windows, ένα σύστημα λήψης από το drive-by αναπτύσσει ένα ξεχωριστό κακόβουλο λογισμικό Trojan, καθιστώντας το μια εξαιρετικά ευέλικτη και διαπλατφορμική απειλή.
Σύναψη
Η καμπάνια EDDIESTEALER καταδεικνύει την αποτελεσματικότητα της κοινωνικής μηχανικής σε συνδυασμό με την εξελιγμένη ανάπτυξη κακόβουλου λογισμικού. Ο προηγμένος πυρήνας της, που βασίζεται στο Rust, η προσαρμοστικότητα σε διάφορες πλατφόρμες και η ικανότητά της να παρακάμπτει τις προστασίες των προγραμμάτων περιήγησης, υπογραμμίζουν την αυξανόμενη ανάγκη οι οργανισμοί και τα άτομα να παραμένουν σε εγρήγορση και προληπτικά όσον αφορά την κυβερνοασφάλεια.
