EDDIESTEALERi pahavara

On tekkinud uus pahavarakampaania, mis levitab täiustatud Rustil põhinevat infovarast nimega EDDIESTEALER. Kasutades nutikat sotsiaalse manipuleerimise taktikat nimega ClickFix, meelitavad ründajad kasutajaid võltsitud CAPTCHA kinnituslehtede kaudu pahatahtlikke skripte käivitama. Kui EDDIESTEALER on aktiivne, kogub see tundlikke andmeid, nagu volitused, brauseriandmed ja krüptovaluuta rahakoti andmed.

Nakkusahel: võltsitud CAPTCHA-st täieõigusliku infovaraseni

Rünnak algab sellega, et legitiimsed veebisaidid satuvad pahatahtliku JavaScripti sisuga ohtu. Külastajatele kuvatakse võltsitud CAPTCHA-lehte, mis palub neil kolmeastmelise protsessi abil tõestada, et te pole robot.
Protsess hõlmab järgmist:

• Windowsi käivitamise dialoogiboksi avamine.
• Eelnevalt kopeeritud käsu kleepimine.
• Käivitavad selle enda kontrollimiseks.

See pealtnäha süütu toiming käivitab segase PowerShelli käsu, mis hangib järgmise etapi kasuliku koormuse kaugserverist (llll[.]fit).

Kasuliku koormuse juurutamine ja salajane täitmine

Pahatahtlik JavaScript (gverify.js) salvestatakse ohvri kausta Allalaadimised ja käivitatakse vaikselt, kasutades cscripti. Selle vahepealse skripti ülesanne on hankida EDDIESTEALER binaarfail samalt kaugserverilt ja salvestada see juhusliku 12-tähemärgilise failinimega kausta Allalaadimised.

EDDIESTEALER pahavara on võimeline:

• Koguge süsteemi metaandmeid.
• Saate juhiseid juhtimis- ja juhtimisserverilt (C2).
• Eksfiltreerige nakatunud süsteemist andmeid, sealhulgas brauseriandmeid, krüptovaluuta rahakotte, paroolihaldureid, FTP-kliente ja sõnumsiderakendusi.

Sihtmärke saab muuta operaatori C2 abil. Failidele ligipääs toimub standardsete kernel32.dll funktsioonide abil, näiteks CreateFileW, GetFileSizeEx, ReadFile ja CloseHandle.

Andmete väljafiltreerimine ja analüüsivastased funktsioonid

Pärast iga ülesannet krüpteeritakse kogutud andmed ja saadetakse C2 serverisse eraldi HTTP POST-päringute kaudu. Radarist välja jäämiseks kasutab pahavara:

• Stringi krüptimine.
• Kohandatud WinAPI otsingumehhanism API-kõnede lahendamiseks.

• Mutex, mis tagab ainult ühe eksemplari käivitamise.

• Kontrollib liivakastikeskkondi ja kustutab end tuvastamise korral.

EDDIESTEALER suudab isegi ennast kustutada, nimetades ümber NTFS-i alternatiivsed andmevood, sarnaselt Latrodectus pahavara kasutatavatele tehnikatele, et faililukkude vahelt mööda hiilida.

Chromiumi ärakasutamine ChromeKatziga

Üks pahavara kõige murettekitavamaid omadusi on selle võime mööda hiilida Chromiumi rakendusepõhisest krüptimisest. See integreerib Rusti rakenduse ChromeKatzist, mis on avatud lähtekoodiga tööriist, mis on loodud küpsiste ja mandaatide eemaldamiseks Chromiumi-põhistest brauseritest.

Kui sihtbrauser ei tööta, käivitab EDDIESTEALER peidetud brauseri eksemplari käsuga '--window-position=-3000,-3000 https://google.com'. See võimaldab tal juurde pääseda mälule, mis on seotud lapseprotsessiga '-utility-sub-type=network.mojom.NetworkService', ja lõpuks hankida volikirjad.

Laiendatud võimalused uuendatud variantides

EDDIESTEALERi uuemad versioonid suudavad koguda ka järgmist:

• Töötavad protsessid.
• GPU üksikasjad.
• Protsessori tuumade arv, protsessori nimi ja tarnija.
• Süsteemiteave (saadetakse serverile isegi enne ülesande konfigureerimist).

Lisaks on kliendi ja serveri vahelise suhtluse jaoks kasutatav krüpteerimisvõti binaarfaili kõvakodeeritud, mis suurendab operatsiooniturvalisust. Varas saab käivitada ka uue Chrome'i protsessi valikuga '--remote-debugging-port=', et lubada peata brauseri interaktsioone DevTools protokolli kaudu, ilma et kasutaja sekkumist oleks vaja.

Platvormideülene ClickFixi kampaania

Rusti kasutamine EDDIESTEALERI jaoks näitab pahavara arendajate seas kasvavat trendi, kus kasutatakse kaasaegseid keelefunktsioone varjatuse, stabiilsuse ja avastamise vältimiseks.

See kampaania on osa ründajate laiemast püüdlusest kasutada ClickFixi taktikat mitmel platvormil. c/side'i teadlased on täheldanud sarnaseid rünnakuid, mis on suunatud macOS-ile, Androidile ja iOS-ile. macOS-i puhul suunab pahatahtlik JavaScript lehele, mis käsib ohvritel käivitada terminali kestaskripti, juurutades Atomic macOS Stealeri (AMOS).

Androidi, iOS-i ja Windowsi kasutajate jaoks juurutab drive-by allalaadimisskeem eraldi trooja pahavara, mis muudab selle väga mitmekülgseks ja platvormideüleseks ohuks.

Kokkuvõte

EDDIESTEALERi kampaania demonstreerib sotsiaalse manipuleerimise tõhusust koos keeruka pahavara arendamisega. Selle täiustatud Rustil põhinev tuum, platvormideülene kohanemisvõime ja võime brauserikaitsetest mööda hiilida rõhutavad organisatsioonide ja üksikisikute kasvavat vajadust olla oma küberturvalisuse osas valvsad ja ennetavad.