תוכנה זדונית של EDDIESTEALER
קמפיין זדוני חדש צץ, המפיץ תוכנה מתקדמת לגניבת מידע מבוססת Rust המכונה EDDIESTEALER. תוקפים, המנצלים טקטיקת הנדסה חברתית חכמה בשם ClickFix, מפתים משתמשים באמצעות דפי אימות CAPTCHA מזויפים כדי להריץ סקריפטים זדוניים. לאחר פעילותו, EDDIESTEALER אוסף נתונים רגישים כגון אישורים, נתוני דפדפן ופרטי ארנק מטבעות קריפטוגרפיים.
תוכן העניינים
שרשרת הדבקה: מ-CAPTCHA מזויף לגנבת מידע מלאה
ההתקפה מתחילה בכך שאתרים לגיטימיים נפגעים באמצעות טעינות זדוניות של JavaScript. למבקרים מוצג דף CAPTCHA מזויף המבקש מהם "להוכיח שאתה לא רובוט" באמצעות תהליך בן שלושה שלבים.
התהליך כרוך ב:
- פתיחת תיבת הדו-שיח הפעלה של Windows.
- הדבקת פקודה שהועתקה מראש.
- מבצעים זאת כדי לאמת את עצמם.
פעולה לכאורה תמימה זו מפעילה פקודת PowerShell מעורפלת אשר מורידה מטען בשלב הבא משרת מרוחק (llll[.]fit).
פריסת מטען וביצוע חשאי
קובץ ה-JavaScript הזדוני (gverify.js) נשמר בתיקיית ההורדות של הקורבן ומופעל באופן שקט באמצעות cscript. תפקידו של סקריפט ביניים זה הוא לאחזר את הקובץ הבינארי EDDIESTEALER מאותו שרת מרוחק, ולשמור אותו עם שם קובץ אקראי בן 12 תווים בתיקיית ההורדות.
תוכנה זדונית EDDIESTEALER מסוגלת:
- איסוף מטא-נתונים של המערכת.
- קבלת הוראות משרת פיקוד ובקרה (C2).
- לחלץ נתונים מהמערכת הנגועה, כולל נתוני דפדפן, ארנקי מטבעות קריפטוגרפיים, מנהלי סיסמאות, לקוחות FTP ואפליקציות העברת הודעות.
ניתן להתאים יעדים על ידי אופרטור C2. גישה לקבצים מטופלת באמצעות פונקציות סטנדרטיות של kernel32.dll כמו CreateFileW, GetFileSizeEx, ReadFile ו-CloseHandle.
תכונות של סינון נתונים ואנטי-אנליזה
לאחר כל משימה, הנתונים שנאספו מוצפנים ונשלחים לשרת C2 באמצעות בקשות HTTP POST נפרדות. כדי להישאר מתחת לרדאר, התוכנה הזדונית משתמשת ב:
- הצפנת מחרוזות.
EDDIESTEALER יכול אפילו למחוק את עצמו על ידי שינוי שם של NTFS Alternate Data Streams, בדומה לטכניקות בהן משתמשת תוכנה זדונית Latrodectus, כדי לעקוף נעילות קבצים.
ניצול כרום עם ChromeKatz
אחת התכונות המדאיגות ביותר של הנוזקה היא יכולתה לעקוף את ההצפנה של Chromium לאפליקציות. היא משלבת יישום Rust של ChromeKatz, כלי קוד פתוח שנועד להשליך קובצי Cookie ופרטי גישה מדפדפנים מבוססי Chromium.
אם הדפדפן הממוקד אינו פועל, EDDIESTEALER מפעיל מופע דפדפן נסתר באמצעות הפקודה '--window-position=-3000,-3000 https://google.com'. זה מאפשר לו גישה לזיכרון המשויך לתהליך הצאצא '-utility-sub-type=network.mojom. NetworkService', ובסופו של דבר מחלץ את האישורים.
יכולות מורחבות בגרסאות מעודכנות
גרסאות עדכניות של EDDIESTEALER יכולות גם לאסוף:
- תהליכים פועלים.
- פרטי ה-GPU.
- מספר ליבות המעבד, שם המעבד והספק.
- מידע מערכת (נשלח לשרת עוד לפני הגדרת המשימה).
בנוסף, מפתח ההצפנה המשמש לתקשורת בין לקוח לשרת מקודד באופן קשיח לתוך קובץ בינארי, מה שמשפר את האבטחה התפעולית. הגנבת יכולה גם להפעיל תהליך Chrome חדש עם '--remote-debugging-port=' כדי לאפשר אינטראקציות דפדפן ללא headless דרך פרוטוקול DevTools, ללא צורך באינטראקציה מצד המשתמש.
קמפיין ClickFix חוצה פלטפורמות
השימוש ב-Rust עבור EDDIESTEALER מדגיש מגמה גוברת בקרב מפתחי תוכנות זדוניות, הממנפים תכונות שפה מודרניות לצורך התגנבות, יציבות והתחמקות מגילוי.
קמפיין זה הוא חלק ממאמץ רחב יותר של תוקפים למנף את טקטיקות ClickFix על פני פלטפורמות מרובות. חוקרים ב-c/side הבחינו בהתקפות דומות המכוונות ל-macOS, Android ו-iOS. עבור macOS, קוד ה-JavaScript הזדוני מפנה לדף המורה לקורבנות להריץ סקריפט מעטפת של Terminal, ופורס את Atomic macOS Stealer (AMOS).
עבור מבקרי אנדרואיד, iOS ו-Windows, תוכנית הורדה מהירה פורסת טרויאנית זדונית נפרדת, מה שהופך אותה לאיום רב-תכליתי וחוצה פלטפורמות.
מַסְקָנָה
קמפיין EDDIESTEALER מדגים את יעילותה של הנדסה חברתית בשילוב עם פיתוח תוכנות זדוניות מתוחכמות. הליבה המתקדמת מבוססת Rust, יכולת ההסתגלות חוצת הפלטפורמות ויכולת לעקוף הגנות דפדפן מדגישות את הצורך הגובר של ארגונים ויחידים להישאר ערניים ופרואקטיביים בעמדת אבטחת הסייבר שלהם.
