Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware EDDIESTEALER kártevő

EDDIESTEALER kártevő

Mezo -ra Malware-ben
Fordítás ide:

Egy új kártevő kampány jelent meg, amely egy fejlett, Rust-alapú információlopó programot, az EDDIESTEALER-t terjeszt. Egy okos, ClickFix nevű pszichológiai manipulációs taktikát alkalmazva a támadók hamis CAPTCHA ellenőrző oldalakon keresztül csábítják a felhasználókat rosszindulatú szkriptek futtatására. Aktiválás után az EDDIESTEALER érzékeny adatokat gyűjt, például hitelesítő adatokat, böngészőadatokat és kriptovaluta-tárcaadatokat.

Fertőzéslánc: A hamis CAPTCHA-tól a teljes körű információlopásig

A támadás azzal kezdődik, hogy legitim weboldalakat támadnak meg rosszindulatú JavaScript-fájlokkal. A látogatóknak egy hamis CAPTCHA-oldal jelenik meg, amely arra kéri őket, hogy egy háromlépéses folyamaton keresztül „bizonyítsák be, hogy nem robotok”.
A folyamat a következőket foglalja magában:

  • A Windows Futtatás párbeszédpanel megnyitása.
  • Előre másolt parancs beillesztése.
  • Végrehajtása önmaguk igazolására.

Ez a látszólag ártalmatlan cselekedet egy obfuszkált PowerShell parancsot indít el, amely egy következő szintű hasznos adatot kér le egy távoli szerverről (llll[.]fit).

Hasznos teher telepítése és rejtett végrehajtás

A rosszindulatú JavaScript kódot (gverify.js) a program a Letöltések mappába menti, és csendben, a cscript segítségével végrehajtja. Ennek a köztes szkriptnek a szerepe az EDDIESTEALER bináris fájl lekérése ugyanarról a távoli szerverről, és egy véletlenszerű, 12 karakteres fájlnévvel történő mentése a Letöltések mappába.

Az EDDIESTEALER rosszindulatú program a következőkre képes:

  • Rendszer metaadatok gyűjtése.
  • Utasítások fogadása egy parancsnoki és irányító (C2) szervertől.
  • Szivárogjon ki adatokat a fertőzött rendszerből, beleértve a böngészőadatokat, kriptovaluta-tárcákat, jelszókezelőket, FTP-klienseket és üzenetküldő alkalmazásokat.

A célpontok a C2 operátorral módosíthatók. A fájlhozzáférést a kernel32.dll szabványos függvényeivel, például a CreateFileW, GetFileSizeEx, ReadFile és CloseHandle segítségével lehet kezelni.

Adatkiszivárgás és elemzésgátló funkciók

Minden egyes feladat után a gyűjtött adatokat titkosítják, és külön HTTP POST kéréseken keresztül küldik a C2 szerverre. A radar alatt maradás érdekében a rosszindulatú program a következőket használja:

  • Karakterlánc titkosítás.
  • Egyéni WinAPI keresési mechanizmus az API-hívások feloldásához.
  • Egy mutex, amely biztosítja, hogy csak egy példány fusson.
  • Ellenőrzi a sandboxos környezeteket, és törli magát, ha észleli.

Az EDDIESTEALER akár önmagát is képes törölni az NTFS alternatív adatfolyamok átnevezésével, hasonlóan a Latrodectus rosszindulatú program által használt technikákhoz, hogy megkerülje a fájlzárakat.

Chromium-támadások kiaknázása a ChromeKatz segítségével

A kártevő egyik legaggasztóbb tulajdonsága, hogy képes megkerülni a Chromium alkalmazásalapú titkosítását. Integrálja a ChromeKatz Rust implementációját, amely egy nyílt forráskódú eszköz, és a Chromium-alapú böngészőkből származó sütik és hitelesítő adatok kinyerésére szolgál.

Ha a célzott böngésző nem fut, az EDDIESTEALER egy rejtett böngészőpéldányt indít a '--window-position=-3000,-3000 https://google.com parancs használatával.' Ez lehetővé teszi számára, hogy hozzáférjen a '-utility-sub-type=network.mojom. NetworkService' gyermekfolyamathoz társított memóriához, végső soron kinyerve a hitelesítő adatokat.

Kibővített képességek a frissített változatokban

Az EDDIESTEALER legújabb verziói a következőket is képesek gyűjteni:

  • Futó folyamatok.
  • GPU-adatok.
  • CPU-magok száma, CPU-név és gyártó.
  • Rendszerinformációk (még a feladat konfigurálása előtt elküldve a szervernek).

Ezenkívül a kliens-szerver kommunikációhoz használt titkosítási kulcs fixen be van kódolva a bináris fájlba, ami fokozza a működési biztonságot. A lopó egy új Chrome-folyamatot is elindíthat a '--remote-debugging-port=' paraméterrel, hogy felhasználói beavatkozás nélkül, fej nélküli böngésző-interakciókat tegyen lehetővé a DevTools protokollon keresztül.

Többplatformos ClickFix kampány

A Rust használata az EDDIESTEALER-hez rávilágít egy növekvő trendre a kártevő-fejlesztők körében, akik a modern nyelvi funkciókat használják ki a lopakodás, a stabilitás és az észlelés elkerülése érdekében.

Ez a kampány a támadók szélesebb körű erőfeszítéseinek része, hogy ClickFix taktikákat alkalmazzanak több platformon. A c/side kutatói hasonló támadásokat figyeltek meg a macOS, Android és iOS rendszereket célozva. macOS esetén a rosszindulatú JavaScript egy olyan oldalra irányít át, amely egy Terminal shell script futtatására utasítja az áldozatokat, telepítve az Atomic macOS Stealer (AMOS) programot.

Android, iOS és Windows felhasználók számára a drive-by letöltési séma egy különálló trójai kártevőt telepít, így ez egy rendkívül sokoldalú és platformfüggetlen fenyegetés.

Következtetés

Az EDDIESTEALER kampány a kifinomult rosszindulatú szoftverek fejlesztésével ötvözött pszichológiai manipuláció hatékonyságát demonstrálja. Fejlett Rust-alapú magja, platformfüggetlen alkalmazkodóképessége és a böngészők védelmének megkerülésére való képessége rávilágít arra, hogy a szervezetek és az egyének egyre növekvő mértékben éberenek és proaktívak maradjanak kiberbiztonsági helyzetükben.

Felkapott

Legnézettebb

Betöltés...