Ponuda s popustom na više licenci
Baza prijetnji Malware EDDIESTEALER Zlonamjerni softver

EDDIESTEALER Zlonamjerni softver

Do Mezo. Malware. godine
Prevedi na:

Pojavila se nova kampanja zlonamjernog softvera koja distribuira napredni kradljivac informacija temeljen na Rustu poznat kao EDDIESTEALER. Koristeći pametnu taktiku društvenog inženjeringa pod nazivom ClickFix, napadači namamljuju korisnike putem lažnih CAPTCHA stranica za provjeru kako bi izvršili zlonamjerne skripte. Nakon što je aktivan, EDDIESTEALER prikuplja osjetljive podatke poput vjerodajnica, podataka preglednika i detalja kriptovaluta.

Lanac zaraze: Od lažnog CAPTCHA-e do pravog kradljivca informacija

Napad započinje kompromitiranjem legitimnih web stranica zlonamjernim JavaScript kodom. Posjetiteljima se prikazuje lažna CAPTCHA stranica koja ih putem postupka u tri koraka potiče da "dokažu da nisu robot".
Proces uključuje:

  • Otvaranje dijaloga Pokreni u sustavu Windows.
  • Lijepljenje unaprijed kopirane naredbe.
  • Izvršavaju ga kako bi se provjerili.

Ovaj naizgled bezopasan čin pokreće obfusiranu PowerShell naredbu koja dohvaća sljedeći korisni teret s udaljenog poslužitelja (llll[.]fit).

Raspoređivanje korisnog tereta i prikriveno izvršavanje

Zlonamjerni JavaScript (gverify.js) sprema se u mapu Preuzimanja žrtve i tiho se izvršava pomoću cscripta. Uloga ovog posredničkog skripta je dohvatiti binarnu datoteku EDDIESTEALER s istog udaljenog poslužitelja, spremajući je sa slučajnim nazivom datoteke od 12 znakova u mapu Preuzimanja.

Zlonamjerni softver EDDIESTEALER može:

  • Prikupi metapodatke sustava.
  • Primanje uputa od zapovjednog i kontrolnog (C2) poslužitelja.
  • Iz zaraženog sustava izvucite podatke, uključujući podatke preglednika, kriptovalutne novčanike, upravitelje lozinki, FTP klijente i aplikacije za razmjenu poruka.

Ciljeve može prilagoditi operator C2. Pristup datotekama obavlja se pomoću standardnih funkcija kernel32.dll kao što su CreateFileW, GetFileSizeEx, ReadFile i CloseHandle.

Značajke izvlačenja podataka i anti-analize

Nakon svakog zadatka, prikupljeni podaci se šifriraju i šalju na C2 poslužitelj putem zasebnih HTTP POST zahtjeva. Kako bi ostao ispod radara, zlonamjerni softver koristi:

  • Šifriranje nizova.
  • Prilagođeni mehanizam pretraživanja WinAPI-ja za rješavanje API poziva.
  • Mutex koji osigurava da se pokreće samo jedna instanca.
  • Provjerava sandbox okruženja i briše se ako se otkrije.

EDDIESTEALER se čak može i sam izbrisati preimenovanjem NTFS alternativnih tokova podataka, slično tehnikama koje koristi zlonamjerni softver Latrodectus kako bi zaobišao zaključavanje datoteka.

Iskorištavanje Chromiuma s ChromeKatzom

Jedna od najzabrinjavajućih značajki zlonamjernog softvera je njegova sposobnost zaobilaženja Chromiumove enkripcije vezane uz aplikacije. Integrira Rustovu implementaciju ChromeKatza, alata otvorenog koda dizajniranog za preuzimanje kolačića i vjerodajnica iz preglednika temeljenih na Chromiumu.

Ako ciljani preglednik nije pokrenut, EDDIESTEALER pokreće skrivenu instancu preglednika pomoću naredbe '--window-position=-3000,-3000 https://google.com'. To mu omogućuje pristup memoriji povezanoj s podređenim procesom '-utility-sub-type=network.mojom.NetworkService', te u konačnici izdvaja vjerodajnice.

Proširene mogućnosti u ažuriranim varijantama

Novije verzije EDDIESTEALER-a također mogu prikupljati:

  • Pokretanje procesa.
  • Detalji o GPU-u.
  • Broj jezgri CPU-a, naziv CPU-a i dobavljač.
  • Informacije o sustavu (šalju se poslužitelju čak i prije konfiguracije zadatka).

Osim toga, ključ za šifriranje koji se koristi za komunikaciju između klijenta i poslužitelja ugrađen je u binarni kod, što poboljšava operativnu sigurnost. Kradljivac također može pokrenuti novi Chromeov proces s '--remote-debugging-port=" kako bi omogućio interakcije preglednika bez zaglavlja putem DevTools protokola, bez potrebe za interakcijom korisnika.

Višeplatformska ClickFix kampanja

Korištenje Rusta za EDDIESTEALER naglašava rastući trend među programerima zlonamjernog softvera, koji iskorištavaju značajke modernih jezičnih jezika za prikrivenost, stabilnost i izbjegavanje otkrivanja.

Ova kampanja dio je šireg napora napadača da iskoriste ClickFix taktike na više platformi. Istraživači na c/sideu primijetili su slične napade usmjerene na macOS, Android i iOS. U macOS-u, zlonamjerni JavaScript preusmjerava na stranicu koja upućuje žrtve da pokrenu Terminal shell skriptu, koristeći Atomic macOS Stealer (AMOS).

Za posjetitelje Androida, iOS-a i Windowsa, shema preuzimanja putem drive-bya koristi zaseban trojanski zlonamjerni softver, što ga čini vrlo svestranom prijetnjom za više platformi.

Zaključak

Kampanja EDDIESTEALER pokazuje učinkovitost društvenog inženjeringa u kombinaciji sa sofisticiranim razvojem zlonamjernog softvera. Njegova napredna jezgra temeljena na Rustu, prilagodljivost više platformi i sposobnost zaobilaženja zaštita preglednika naglašavaju rastuću potrebu da organizacije i pojedinci ostanu budni i proaktivni u svom stavu prema kibernetičkoj sigurnosti.

U trendu

Nagledanije

Učitavam...