Preventivo sconto multi-licenza
Database delle minacce Malware Malware EDDIESTEALER

Malware EDDIESTEALER

Entro Mezo nel Malware
Traduci in:

È emersa una nuova campagna malware che distribuisce un avanzato sistema di furto di informazioni basato su Rust, noto come EDDIESTEALER. Sfruttando un'ingegnosa tattica di ingegneria sociale chiamata ClickFix, gli aggressori attirano gli utenti attraverso false pagine di verifica CAPTCHA per eseguire script dannosi. Una volta attivo, EDDIESTEALER raccoglie dati sensibili come credenziali, dati del browser e dettagli del wallet di criptovalute.

Catena di infezione: dal falso CAPTCHA al vero e proprio infostealer

L'attacco inizia con la compromissione di siti web legittimi con payload JavaScript dannosi. Ai visitatori viene mostrata una falsa pagina CAPTCHA che li invita a "dimostrare di non essere un robot" tramite una procedura in tre fasi.
Il processo prevede:

  • Apertura della finestra di dialogo Esegui di Windows.
  • Incollare un comando precopiato.
  • Eseguendolo per verificare se stessi.

Questa azione apparentemente innocua innesca un comando PowerShell offuscato che recupera un payload di fase successiva da un server remoto (llll[.]fit).

Distribuzione del carico utile ed esecuzione stealth

Il codice JavaScript dannoso (gverify.js) viene salvato nella cartella Download della vittima ed eseguito silenziosamente tramite cscript. Il ruolo di questo script intermedio è recuperare il binario EDDIESTEALER dallo stesso server remoto, salvandolo con un nome file casuale di 12 caratteri nella cartella Download.

Il malware EDDIESTEALER è in grado di:

  • Raccogliere metadati di sistema.
  • Ricevi istruzioni da un server di comando e controllo (C2).
  • Esfiltrare dati dal sistema infetto, tra cui dati del browser, portafogli di criptovalute, gestori di password, client FTP e app di messaggistica.

Gli obiettivi possono essere modificati dall'operatore C2. L'accesso ai file viene gestito tramite le funzioni standard di kernel32.dll come CreateFileW, GetFileSizeEx, ReadFile e CloseHandle.

Funzionalità di esfiltrazione dei dati e anti-analisi

Dopo ogni operazione, i dati raccolti vengono crittografati e inviati al server C2 tramite richieste HTTP POST separate. Per rimanere inosservato, il malware utilizza:

  • Crittografia delle stringhe.
  • Un meccanismo di ricerca WinAPI personalizzato per risolvere le chiamate API.
  • Un mutex per garantire che venga eseguita solo un'istanza.
  • Controlla gli ambienti sandbox, eliminandosi se rilevati.

EDDIESTEALER può addirittura eliminarsi da solo rinominando i flussi di dati alternativi NTFS, in modo simile alle tecniche utilizzate dal malware Latrodectus per aggirare i blocchi dei file.

Sfruttamento di Chromium con ChromeKatz

Una delle caratteristiche più preoccupanti del malware è la sua capacità di bypassare la crittografia di Chromium legata alle app. Integra un'implementazione Rust di ChromeKatz, uno strumento open source progettato per eliminare cookie e credenziali dai browser basati su Chromium.

Se il browser di destinazione non è in esecuzione, EDDIESTEALER avvia un'istanza nascosta del browser utilizzando il comando '--window-position=-3000,-3000 https://google.com'. Questo gli consente di accedere alla memoria associata al processo figlio '-utility-sub-type=network.mojom. NetworkService', estraendone le credenziali.

Funzionalità estese nelle varianti aggiornate

Le versioni recenti di EDDIESTEALER possono anche raccogliere:

  • Processi in esecuzione.
  • Dettagli GPU.
  • Numero di core della CPU, nome della CPU e fornitore.
  • Informazioni di sistema (inviate al server anche prima della configurazione dell'attività).

Inoltre, la chiave di crittografia utilizzata per la comunicazione client-server è codificata in modo fisso nel binario, migliorando la sicurezza operativa. Lo stealer può anche avviare un nuovo processo Chrome con '--remote-debugging-port=' per abilitare interazioni con il browser headless tramite il protocollo DevTools, senza richiedere l'interazione dell'utente.

Campagna ClickFix multipiattaforma

L'uso di Rust per EDDIESTEALER evidenzia una tendenza crescente tra gli sviluppatori di malware, che sfruttano le funzionalità del linguaggio moderno per ottenere furtività, stabilità ed elusione del rilevamento.

Questa campagna fa parte di un più ampio tentativo da parte degli aggressori di sfruttare le tattiche di ClickFix su più piattaforme. I ricercatori di c/side hanno osservato attacchi simili che hanno preso di mira macOS, Android e iOS. Per macOS, il codice JavaScript dannoso reindirizza a una pagina che richiede alle vittime di eseguire uno script shell del Terminale, implementando l'Atomic macOS Stealer (AMOS).

Per i visitatori Android, iOS e Windows, uno schema di download drive-by distribuisce un malware Trojan separato, rendendolo una minaccia altamente versatile e multipiattaforma.

Conclusione

La campagna EDDIESTEALER dimostra l'efficacia dell'ingegneria sociale combinata con lo sviluppo di malware sofisticati. Il suo core avanzato basato su Rust, l'adattabilità multipiattaforma e la capacità di aggirare le protezioni del browser evidenziano la crescente necessità per organizzazioni e individui di rimanere vigili e proattivi nella loro strategia di sicurezza informatica.

Tendenza

I più visti

Caricamento in corso...