EDDIESTEALER मैलवेयर

एक नया मैलवेयर अभियान सामने आया है, जो EDDIESTEALER नामक एक उन्नत रस्ट-आधारित सूचना चोर वितरित करता है। ClickFix नामक एक चतुर सोशल इंजीनियरिंग रणनीति का लाभ उठाते हुए, हमलावर दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करने के लिए नकली CAPTCHA सत्यापन पृष्ठों के माध्यम से उपयोगकर्ताओं को लुभाते हैं। एक बार सक्रिय होने पर, EDDIESTEALER क्रेडेंशियल, ब्राउज़र डेटा और क्रिप्टोक्यूरेंसी वॉलेट विवरण जैसे संवेदनशील डेटा को इकट्ठा करता है।

संक्रमण श्रृंखला: नकली कैप्चा से लेकर पूर्ण-विकसित सूचना-चोरी तक

यह हमला वैध वेबसाइटों पर दुर्भावनापूर्ण जावास्क्रिप्ट पेलोड के साथ शुरू होता है। आगंतुकों को एक नकली कैप्चा पृष्ठ दिखाया जाता है, जिसमें उन्हें तीन-चरणीय प्रक्रिया के माध्यम से "यह साबित करने के लिए कहा जाता है कि आप रोबोट नहीं हैं"।
इस प्रक्रिया में निम्नलिखित शामिल हैं:

• विंडोज़ रन संवाद खोलना.
• पूर्व-कॉपी किए गए आदेश को चिपकाना.
• स्वयं को सत्यापित करने के लिए इसे क्रियान्वित करना।

यह प्रतीत होता है कि हानिरहित कार्य एक अस्पष्ट PowerShell कमांड को ट्रिगर करता है जो एक दूरस्थ सर्वर (llll[.]fit) से अगले चरण का पेलोड लाता है।

पेलोड परिनियोजन और गुप्त निष्पादन

दुर्भावनापूर्ण जावास्क्रिप्ट (gverify.js) को पीड़ित के डाउनलोड फ़ोल्डर में सहेजा जाता है और cscript का उपयोग करके चुपचाप निष्पादित किया जाता है। इस मध्यवर्ती स्क्रिप्ट की भूमिका उसी दूरस्थ सर्वर से EDDIESTEALER बाइनरी को पुनः प्राप्त करना है, इसे डाउनलोड फ़ोल्डर में एक यादृच्छिक 12-वर्ण फ़ाइल नाम के साथ सहेजना है।

EDDIESTEALER मैलवेयर निम्न कार्य करने में सक्षम है:

• सिस्टम मेटाडेटा एकत्रित करें.
• कमांड-एंड-कंट्रोल (C2) सर्वर से निर्देश प्राप्त करें।
• संक्रमित सिस्टम से डेटा निकालें, जिसमें ब्राउज़र डेटा, क्रिप्टोकरेंसी वॉलेट, पासवर्ड मैनेजर, FTP क्लाइंट और मैसेजिंग ऐप शामिल हैं।

लक्ष्य को C2 ऑपरेटर द्वारा समायोजित किया जा सकता है। फ़ाइल एक्सेस को CreateFileW, GetFileSizeEx, ReadFile, और CloseHandle जैसे मानक kernel32.dll फ़ंक्शन का उपयोग करके नियंत्रित किया जाता है।

डेटा एक्सफ़िलट्रेशन और एंटी-एनालिसिस सुविधाएँ

प्रत्येक कार्य के बाद, एकत्रित डेटा एन्क्रिप्ट किया जाता है और अलग-अलग HTTP POST अनुरोधों के माध्यम से C2 सर्वर को भेजा जाता है। रडार से दूर रहने के लिए, मैलवेयर निम्न का उपयोग करता है:

• स्ट्रिंग एन्क्रिप्शन.

EDDIESTEALER NTFS वैकल्पिक डेटा स्ट्रीम का नाम बदलकर स्वयं को हटा भी सकता है, जो कि लैट्रोडेक्टस मैलवेयर द्वारा फ़ाइल लॉक को बायपास करने के लिए उपयोग की जाने वाली तकनीकों के समान है।

ChromeKatz के साथ क्रोमियम का उपयोग

मैलवेयर की सबसे चिंताजनक विशेषताओं में से एक क्रोमियम के ऐप-बाउंड एन्क्रिप्शन को बायपास करने की इसकी क्षमता है। यह क्रोमकैट्ज के रस्ट कार्यान्वयन को एकीकृत करता है, जो क्रोमियम-आधारित ब्राउज़रों से कुकीज़ और क्रेडेंशियल्स को डंप करने के लिए डिज़ाइन किया गया एक ओपन-सोर्स टूल है।

यदि लक्षित ब्राउज़र नहीं चल रहा है, तो EDDIESTEALER '--window-position=-3000,-3000 https://google.com कमांड' का उपयोग करके एक छिपे हुए ब्राउज़र इंस्टेंस को लॉन्च करता है। यह उसे '-utility-sub-type=network.mojom. NetworkService' चाइल्ड प्रोसेस से जुड़ी मेमोरी तक पहुंचने की अनुमति देता है, और अंततः क्रेडेंशियल्स निकालता है।

अपडेटेड वेरिएंट में विस्तारित क्षमताएं

EDDIESTEALER के नवीनतम संस्करण में यह भी शामिल हो सकता है:

• चल रही प्रक्रियाएं.
• GPU विवरण.
• सीपीयू कोर की संख्या, सीपीयू नाम और विक्रेता.
• सिस्टम जानकारी (कार्य कॉन्फ़िगरेशन से पहले भी सर्वर को भेजी जाती है).

इसके अतिरिक्त, क्लाइंट-टू-सर्वर संचार के लिए उपयोग की जाने वाली एन्क्रिप्शन कुंजी बाइनरी में हार्ड-कोड की जाती है, जिससे परिचालन सुरक्षा बढ़ जाती है। चोर DevTools प्रोटोकॉल पर हेडलेस ब्राउज़र इंटरैक्शन को सक्षम करने के लिए '--remote-debugging-port=' के साथ एक नई क्रोम प्रक्रिया भी लॉन्च कर सकता है, जिसके लिए किसी उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है।

क्रॉस-प्लेटफ़ॉर्म क्लिकफ़िक्स अभियान

EDDIESTEALER के लिए Rust का उपयोग मैलवेयर डेवलपर्स के बीच बढ़ती प्रवृत्ति को दर्शाता है, जो चुपके, स्थिरता और पता लगाने से बचने के लिए आधुनिक भाषा सुविधाओं का लाभ उठा रहे हैं।

यह अभियान हमलावरों द्वारा कई प्लेटफ़ॉर्म पर ClickFix रणनीति का लाभ उठाने के व्यापक प्रयास का हिस्सा है। c/side के शोधकर्ताओं ने macOS, Android और iOS को लक्षित करने वाले समान हमलों को देखा है। macOS के लिए, दुर्भावनापूर्ण जावास्क्रिप्ट पीड़ितों को टर्मिनल शेल स्क्रिप्ट चलाने का निर्देश देते हुए एक पृष्ठ पर रीडायरेक्ट करता है, जो एटॉमिक macOS स्टीलर (AMOS) को तैनात करता है।

एंड्रॉइड, आईओएस और विंडोज आगंतुकों के लिए, ड्राइव-बाय डाउनलोड योजना एक अलग ट्रोजन मैलवेयर तैनात करती है, जिससे यह एक अत्यधिक बहुमुखी और क्रॉस-प्लेटफॉर्म खतरा बन जाता है।

निष्कर्ष

EDDIESTEALER अभियान परिष्कृत मैलवेयर विकास के साथ संयुक्त सामाजिक इंजीनियरिंग की प्रभावशीलता को प्रदर्शित करता है। इसका उन्नत रस्ट-आधारित कोर, क्रॉस-प्लेटफ़ॉर्म अनुकूलनशीलता, और ब्राउज़र सुरक्षा को बायपास करने की क्षमता संगठनों और व्यक्तियों के लिए अपने साइबर सुरक्षा रुख में सतर्क और सक्रिय रहने की बढ़ती आवश्यकता को उजागर करती है।