قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار EDDIESTEALER

بدافزار EDDIESTEALER

تا Mezo در بدافزار
ترجمه به:

یک کمپین بدافزاری جدید پدیدار شده است که یک سارق اطلاعات پیشرفته مبتنی بر Rust به نام EDDIESTEALER را توزیع می‌کند. مهاجمان با استفاده از یک تاکتیک مهندسی اجتماعی هوشمندانه به نام ClickFix، کاربران را از طریق صفحات تأیید جعلی CAPTCHA برای اجرای اسکریپت‌های مخرب فریب می‌دهند. پس از فعال شدن، EDDIESTEALER داده‌های حساسی مانند اعتبارنامه‌ها، داده‌های مرورگر و جزئیات کیف پول ارزهای دیجیتال را جمع‌آوری می‌کند.

زنجیره آلودگی: از کپچای جعلی تا یک دزد اطلاعات تمام‌عیار

این حمله با آلوده شدن وب‌سایت‌های قانونی با کدهای مخرب جاوا اسکریپت آغاز می‌شود. به بازدیدکنندگان یک صفحه جعلی CAPTCHA نشان داده می‌شود که از آنها خواسته می‌شود از طریق یک فرآیند سه مرحله‌ای «ثابت کنند که ربات نیستند».
این فرآیند شامل موارد زیر است:

  • باز کردن کادر محاوره‌ای Run ویندوز.
  • چسباندن یک دستور از پیش کپی شده.
  • برای تأیید خودشان آن را اجرا می‌کنند.

این عمل به ظاهر بی‌ضرر، یک دستور PowerShell مبهم را اجرا می‌کند که یک payload مرحله بعدی را از یک سرور راه دور (llll[.]fit) دریافت می‌کند.

استقرار و اجرای مخفیانه‌ی پیلود

جاوا اسکریپت مخرب (gverify.js) در پوشه Downloads قربانی ذخیره شده و با استفاده از cscript به صورت مخفیانه اجرا می‌شود. نقش این اسکریپت میانی، بازیابی فایل باینری EDDIESTEALER از همان سرور راه دور و ذخیره آن با یک نام فایل تصادفی ۱۲ کاراکتری در پوشه Downloads است.

بدافزار EDDIESTEALER قادر به انجام موارد زیر است:

  • جمع‌آوری فراداده‌های سیستم.
  • دریافت دستورالعمل‌ها از یک سرور فرماندهی و کنترل (C2).
  • استخراج داده‌ها از سیستم آلوده، از جمله داده‌های مرورگر، کیف پول‌های ارز دیجیتال، برنامه‌های مدیریت رمز عبور، کلاینت‌های FTP و برنامه‌های پیام‌رسان.

اهداف می‌توانند توسط اپراتور C2 تنظیم شوند. دسترسی به فایل با استفاده از توابع استاندارد kernel32.dll مانند CreateFileW، GetFileSizeEx، ReadFile و CloseHandle مدیریت می‌شود.

ویژگی‌های استخراج داده‌ها و ضد تجزیه و تحلیل

پس از هر وظیفه، داده‌های جمع‌آوری‌شده رمزگذاری شده و از طریق درخواست‌های HTTP POST جداگانه به سرور C2 ارسال می‌شوند. این بدافزار برای اینکه شناسایی نشود، از موارد زیر استفاده می‌کند:

  • رمزگذاری رشته.
  • یک مکانیزم جستجوی سفارشی WinAPI برای حل فراخوانی‌های API.
  • یک mutex برای اطمینان از اینکه فقط یک نمونه اجرا می‌شود.
  • محیط‌های سندباکس‌شده را بررسی می‌کند و در صورت شناسایی، خود را حذف می‌کند.

    • EDDIESTEALER حتی می‌تواند با تغییر نام NTFS Alternate Data Streams، خود را حذف کند، مشابه تکنیک‌هایی که بدافزار Latrodectus برای دور زدن قفل فایل‌ها استفاده می‌کند.

    بهره‌برداری از کرومیوم با ChromeKatz

    یکی از نگران‌کننده‌ترین ویژگی‌های این بدافزار، توانایی آن در دور زدن رمزگذاری وابسته به برنامه کرومیوم است. این بدافزار، پیاده‌سازی Rust از ChromeKatz را در خود جای داده است، ابزاری متن‌باز که برای حذف کوکی‌ها و اطلاعات احراز هویت از مرورگرهای مبتنی بر کرومیوم طراحی شده است.

    اگر مرورگر مورد نظر در حال اجرا نباشد، EDDIESTEALER با استفاده از دستور '--window-position=-3000,-3000 https://google.com' یک نمونه مرورگر پنهان را راه‌اندازی می‌کند. این امر به آن اجازه می‌دهد تا به حافظه مرتبط با فرآیند فرزند '-utility-sub-type=network.mojom. NetworkService' دسترسی پیدا کند و در نهایت اعتبارنامه‌ها را استخراج کند.

    قابلیت‌های گسترش‌یافته در نسخه‌های به‌روز شده

    نسخه‌های اخیر EDDIESTEALER همچنین می‌توانند موارد زیر را جمع‌آوری کنند:

    • فرآیندهای در حال اجرا.
    • جزئیات پردازنده گرافیکی.
    • تعداد هسته‌های پردازنده، نام پردازنده و فروشنده.
    • اطلاعات سیستم (حتی قبل از پیکربندی وظیفه به سرور ارسال می‌شود).

    علاوه بر این، کلید رمزگذاری مورد استفاده برای ارتباط کلاینت به سرور به صورت کد باینری در کد اصلی قرار گرفته است که امنیت عملیاتی را افزایش می‌دهد. این سارق همچنین می‌تواند یک فرآیند جدید کروم را با '--remote-debugging-port=' راه‌اندازی کند تا تعاملات مرورگر بدون نیاز به تعامل کاربر را از طریق پروتکل DevTools فعال کند.

    کمپین چند پلتفرمی ClickFix

    استفاده از Rust برای EDDIESTEALER روند رو به رشدی را در بین توسعه‌دهندگان بدافزار نشان می‌دهد که از ویژگی‌های زبان‌های مدرن برای مخفی‌کاری، پایداری و جلوگیری از شناسایی استفاده می‌کنند.

    این کمپین بخشی از تلاش گسترده‌تر مهاجمان برای بهره‌برداری از تاکتیک‌های ClickFix در پلتفرم‌های مختلف است. محققان c/side حملات مشابهی را مشاهده کرده‌اند که macOS، اندروید و iOS را هدف قرار داده‌اند. برای macOS، جاوا اسکریپت مخرب به صفحه‌ای هدایت می‌شود که به قربانیان دستور می‌دهد یک اسکریپت Shell ترمینال را اجرا کنند و Atomic macOS Stealer (AMOS) را مستقر می‌کند.

    برای بازدیدکنندگان اندروید، iOS و ویندوز، یک طرح دانلود ناخواسته، یک بدافزار تروجان جداگانه را مستقر می‌کند و این را به یک تهدید بسیار متنوع و چند پلتفرمی تبدیل می‌کند.

    نتیجه‌گیری

    کمپین EDDIESTEALER اثربخشی مهندسی اجتماعی همراه با توسعه بدافزارهای پیچیده را نشان می‌دهد. هسته پیشرفته مبتنی بر Rust، سازگاری بین پلتفرمی و توانایی آن در دور زدن محافظت‌های مرورگر، نیاز روزافزون سازمان‌ها و افراد را به هوشیاری و پیشگیری در وضعیت امنیت سایبری خود برجسته می‌کند.

    پرطرفدار

    Perwousesoc.com

    وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    اینترنت پر از اطلاعات ارزشمند و تله‌های پنهان است. در حالی که وبگردی امری عادی به نظر می‌رسد، یک کلیک بی‌دقت روی سایت اشتباه می‌تواند راه را برای تاکتیک‌ها، بدافزارها و نقض حریم خصوصی باز کند. یک...

    Berolorladentra.co.in

    وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    یک کلیک بی‌دقت ممکن است کاربران را در معرض تهدیدات سایبری، تاکتیک‌ها یا بدتر از آن قرار دهد. بازیگران شرور دائماً تاکتیک‌های خود را برای فریب، دستکاری و سود بردن از قربانیان ناآگاه اصلاح می‌کنند....

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    34,096
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...