Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma EDDIESTEALER-haittaohjelma

EDDIESTEALER-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Uusi haittaohjelmakampanja on käynnistynyt ja levittää edistynyttä Rust-pohjaista tiedonvarastajaa nimeltä EDDIESTEALER. Hyökkääjät hyödyntävät nerokasta ClickFix-nimistä sosiaalisen manipuloinnin taktiikkaa ja houkuttelevat käyttäjiä väärennettyjen CAPTCHA-vahvistussivujen kautta suorittamaan haitallisia komentosarjoja. Aktiivisena EDDIESTEALER kerää arkaluonteisia tietoja, kuten tunnistetietoja, selaintietoja ja kryptovaluuttalompakon tietoja.

Tartuntaketju: Väärennetystä CAPTCHA:sta täysimittaiseen tiedonvarastukseen

Hyökkäys alkaa laillisille verkkosivustoille tunkeutumalla haitallisilla JavaScript-hyötykuvilla. Vierailijoille näytetään väärennetty CAPTCHA-sivu, jossa heitä pyydetään "todistamaan, etteivät he ole robotti" kolmivaiheisen prosessin kautta.
Prosessiin kuuluu:

  • Windowsin Suorita-valintaikkunan avaaminen.
  • Esikopioidun komennon liittäminen.
  • Suorittavat sen itsensä varmistamiseksi.

Tämä näennäisen harmiton teko laukaisee hämärretyn PowerShell-komennon, joka hakee seuraavan vaiheen hyötykuorman etäpalvelimelta (llll[.]fit).

Hyötykuormien käyttöönotto ja huomaamaton toteutus

Haitallinen JavaScript-koodi (gverify.js) tallennetaan uhrin Lataukset-kansioon ja suoritetaan hiljaisesti cscript-komentosarjan avulla. Tämän välivaiheen komentosarjan tehtävänä on hakea EDDIESTEALER-binääritiedosto samalta etäpalvelimelta ja tallentaa se satunnaisella 12-merkkisellä tiedostonimellä Lataukset-kansioon.

EDDIESTEALER-haittaohjelma pystyy:

  • Kerää järjestelmän metatiedot.
  • Vastaanota ohjeita komento- ja ohjauspalvelimelta (C2).
  • Varoa tartunnan saaneesta järjestelmästä tietoja, mukaan lukien selaintiedot, kryptovaluuttalompakot, salasananhallintaohjelmat, FTP-asiakasohjelmat ja viestisovellukset.

Kohteita voidaan säätää C2-operaattorilla. Tiedostojen käyttöoikeus käsitellään kernel32.dll:n vakiofunktioilla, kuten CreateFileW, GetFileSizeEx, ReadFile ja CloseHandle.

Tietojen vuotaminen ja analysoinnin esto-ominaisuudet

Jokaisen tehtävän jälkeen kerätyt tiedot salataan ja lähetetään C2-palvelimelle erillisten HTTP POST -pyyntöjen kautta. Pysyäkseen tutkan alla haittaohjelma käyttää:

  • Merkkijonojen salaus.
  • Mukautettu WinAPI-hakumekanismi API-kutsujen ratkaisemiseen.
  • Mutex, joka varmistaa, että vain yksi instanssi suoritetaan.
  • Tarkistaa hiekkalaatikkoympäristöt ja poistaa itsensä, jos ne havaitaan.

EDDIESTEALER voi jopa poistaa itsensä nimeämällä NTFS-vaihtoehtoiset tietovirrat uudelleen, samalla tavalla kuin Latrodectus-haittaohjelma käyttää tiedostolukkojen ohittamiseen.

Chromiumin hyväksikäyttö ChromeKatzilla

Yksi haittaohjelman huolestuttavimmista ominaisuuksista on sen kyky ohittaa Chromiumin sovelluskohtainen salaus. Se integroi Rust-toteutuksen ChromeKatzista, avoimen lähdekoodin työkalusta, joka on suunniteltu poistamaan evästeitä ja tunnistetietoja Chromium-pohjaisista selaimista.

Jos kohdeselain ei ole käynnissä, EDDIESTEALER käynnistää piilotetun selaininstanssin komennolla '--window-position=-3000,-3000 https://google.com'. Tämä antaa sille mahdollisuuden käyttää '-utility-sub-type=network.mojom.NetworkService'-aliprosessiin liittyvää muistia ja lopulta purkaa tunnistetiedot.

Päivitettyjen versioiden laajennetut ominaisuudet

EDDIESTEALERin uusimmat versiot voivat myös kerätä:

  • Suoritettavat prosessit.
  • GPU-tiedot.
  • Suorittimen ytimien lukumäärä, suorittimen nimi ja valmistaja.
  • Järjestelmätiedot (lähetetään palvelimelle jo ennen tehtävän määrittämistä).

Lisäksi asiakkaan ja palvelimen välisessä viestinnässä käytetty salausavain on kiinteästi koodattu binääritiedostoon, mikä parantaa toiminnan turvallisuutta. Varastaja voi myös käynnistää uuden Chrome-prosessin '--remote-debugging-port=' -valitsimella, mikä mahdollistaa selaintoimintoja ilman käyttäjän toimia DevTools-protokollan kautta.

Monialustainen ClickFix-kampanja

Rustin käyttö EDDIESTEALERIN kanssa korostaa kasvavaa trendiä haittaohjelmakehittäjien keskuudessa, jossa hyödynnetään moderneja kieliominaisuuksia piilotuksen, vakauden ja havaitsemisen välttämisen takaamiseksi.

Tämä kampanja on osa hyökkääjien laajempaa pyrkimystä hyödyntää ClickFix-taktiikoita useilla alustoilla. c/side-sivuston tutkijat ovat havainneet vastaavia hyökkäyksiä macOS:ään, Androidiin ja iOS:ään. macOS:ssä haitallinen JavaScript-koodi ohjaa sivulle, joka kehottaa uhreja suorittamaan pääteskriptin ja ottamaan käyttöön Atomic macOS Stealerin (AMOS).

Android-, iOS- ja Windows-käyttäjille drive-by-latausjärjestelmä ottaa käyttöön erillisen troijalaisen haittaohjelman, mikä tekee tästä erittäin monipuolisen ja alustojen välisen uhan.

Johtopäätös

EDDIESTEALER-kampanja osoittaa sosiaalisen manipuloinnin tehokkuuden yhdistettynä hienostuneeseen haittaohjelmien kehittämiseen. Sen edistynyt Rust-pohjainen ydin, alustojen välinen sopeutumiskyky ja kyky ohittaa selainsuojaukset korostavat organisaatioiden ja yksilöiden kasvavaa tarvetta pysyä valppaina ja ennakoivina kyberturvallisuustilanteessaan.

Trendaavat

Eniten katsottu

Ladataan...