EDDIESTEALER Malware

យុទ្ធនាការមេរោគថ្មីបានលេចចេញ ដោយចែកចាយអ្នកលួចព័ត៌មានដែលមានមូលដ្ឋានលើ Rust កម្រិតខ្ពស់ដែលគេស្គាល់ថា EDDIESTEALER ។ ការប្រើប្រាស់យុទ្ធសាស្ត្រវិស្វកម្មសង្គមដ៏ឆ្លាតវៃដែលហៅថា ClickFix អ្នកវាយប្រហារបានទាក់ទាញអ្នកប្រើប្រាស់តាមរយៈទំព័រផ្ទៀងផ្ទាត់ CAPTCHA ក្លែងក្លាយ ដើម្បីដំណើរការស្គ្រីបព្យាបាទ។ នៅពេលដែលសកម្ម EDDIESTEALER ប្រមូលទិន្នន័យរសើបដូចជាព័ត៌មានសម្ងាត់ ទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងព័ត៌មានលម្អិតអំពីកាបូបលុយគ្រីបតូ។

ខ្សែសង្វាក់ឆ្លងមេរោគ៖ ពី CAPTCHA ក្លែងក្លាយទៅជា Infostealer ពេញលេញ

ការវាយប្រហារចាប់ផ្តើមដោយគេហទំព័រស្របច្បាប់ត្រូវបានសម្របសម្រួលជាមួយនឹងបន្ទុក JavaScript ព្យាបាទ។ អ្នកទស្សនាត្រូវបានបង្ហាញទំព័រ CAPTCHA ក្លែងក្លាយដែលជំរុញឱ្យពួកគេ "បង្ហាញថាអ្នកមិនមែនជាមនុស្សយន្ត" តាមរយៈដំណើរការបីជំហាន។
ដំណើរការនេះរួមមានៈ

• ការបើកប្រអប់ដំណើរការវីនដូ។
• បិទភ្ជាប់ពាក្យបញ្ជាដែលបានចម្លងជាមុន។
• អនុវត្តវាដើម្បីផ្ទៀងផ្ទាត់ខ្លួនឯង។

ទង្វើដែលហាក់ដូចជាគ្មានកំហុសនេះបង្កឱ្យមានការយល់ច្រឡំនូវពាក្យបញ្ជា PowerShell ដែលទាញយកបន្ទុកដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនមេពីចម្ងាយ (llll[.]fit)។

ការដាក់ពង្រាយបន្ទុក និងការប្រតិបត្តិដោយសម្ងាត់

JavaScript ព្យាបាទ (gverify.js) ត្រូវបានរក្សាទុកទៅក្នុងថតឯកសារទាញយករបស់ជនរងគ្រោះ ហើយត្រូវបានប្រតិបត្តិដោយស្ងៀមស្ងាត់ដោយប្រើ cscript ។ តួនាទីរបស់ស្គ្រីបកម្រិតមធ្យមនេះគឺដើម្បីទាញយកប្រព័ន្ធគោលពីរ EDDIESTEALER ពីម៉ាស៊ីនមេពីចម្ងាយដូចគ្នា ដោយរក្សាទុកវាជាមួយនឹងឈ្មោះឯកសារចៃដន្យ 12 តួអក្សរនៅក្នុងថតឯកសារទាញយក។

មេរោគ EDDIESTEALER មានសមត្ថភាព៖

• ប្រមូលទិន្នន័យមេតារបស់ប្រព័ន្ធ។
• ទទួលការណែនាំពីម៉ាស៊ីនមេ Command-and-Control (C2) ។
• ស្រង់ទិន្នន័យចេញពីប្រព័ន្ធដែលមានមេរោគ រួមទាំងទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត កាបូបលុយគ្រីបតូ អ្នកគ្រប់គ្រងពាក្យសម្ងាត់ អតិថិជន FTP និងកម្មវិធីផ្ញើសារ។

គោលដៅអាចត្រូវបានកែតម្រូវដោយប្រតិបត្តិករ C2 ។ ការចូលប្រើឯកសារត្រូវបានគ្រប់គ្រងដោយប្រើមុខងារស្តង់ដារ kernel32.dll ដូចជា CreateFileW, GetFileSizeEx, ReadFile និង CloseHandle ។

លក្ខណៈពិសេសការចម្រាញ់ទិន្នន័យ និងប្រឆាំងការវិភាគ

បន្ទាប់ពីកិច្ចការនីមួយៗ ទិន្នន័យដែលប្រមូលបានត្រូវបានអ៊ិនគ្រីប និងផ្ញើទៅកាន់ម៉ាស៊ីនមេ C2 តាមរយៈសំណើ HTTP POST ដាច់ដោយឡែក។ ដើម្បីស្ថិតនៅក្រោមរ៉ាដា មេរោគប្រើ៖

• ការអ៊ិនគ្រីបខ្សែអក្សរ។

EDDIESTEALER ថែមទាំងអាចលុបខ្លួនវាដោយប្តូរឈ្មោះ NTFS Alternate Data Stream ស្រដៀងនឹងបច្ចេកទេសដែលប្រើដោយមេរោគ Latrodectus ដើម្បីចៀសវាងការចាក់សោឯកសារ។

ការកេងប្រវ័ញ្ច Chromium ជាមួយ ChromeKatz

លក្ខណៈពិសេសមួយក្នុងចំណោមលក្ខណៈពិសេសដែលទាក់ទងនឹងមេរោគបំផុតគឺសមត្ថភាពរបស់វាក្នុងការរំលងការអ៊ិនគ្រីបដែលចងភ្ជាប់កម្មវិធីរបស់ Chromium ។ វារួមបញ្ចូលការអនុវត្ត Rust នៃ ChromeKatz ដែលជាឧបករណ៍ប្រភពបើកចំហដែលត្រូវបានរចនាឡើងដើម្បីបោះចោលខូគី និងលិខិតសម្គាល់ពីកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ។

ប្រសិនបើកម្មវិធីរុករកគោលដៅមិនដំណើរការទេ EDDIESTEALER បើកដំណើរការកម្មវិធីរុករកដែលលាក់ដោយប្រើពាក្យបញ្ជា '--window-position=-3000,-3000 https://google.com ។' វាអនុញ្ញាតឱ្យវាចូលប្រើអង្គចងចាំដែលភ្ជាប់ជាមួយ '-utility-sub-type=network.mojom ។ ដំណើរការកូនរបស់ NetworkService ទីបំផុតទាញយកព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ។

ពង្រីកសមត្ថភាពនៅក្នុងកំណែដែលបានធ្វើបច្ចុប្បន្នភាព

កំណែថ្មីៗរបស់ EDDIESTEALER ក៏អាចប្រមូលផ្តុំផងដែរ៖

• ដំណើរការដំណើរការ។
• ព័ត៌មានលម្អិត GPU ។
• ចំនួនស្នូល CPU ឈ្មោះ CPU និងអ្នកលក់។
• ព័ត៌មានប្រព័ន្ធ (ផ្ញើទៅម៉ាស៊ីនមេសូម្បីតែមុនពេលកំណត់រចនាសម្ព័ន្ធភារកិច្ច) ។

លើសពីនេះ សោអ៊ិនគ្រីបដែលប្រើសម្រាប់ការទំនាក់ទំនងរវាងម៉ាស៊ីនភ្ញៀវទៅម៉ាស៊ីនមេគឺពិបាកសរសេរកូដទៅក្នុងប្រព័ន្ធគោលពីរ ដែលបង្កើនសុវត្ថិភាពប្រតិបត្តិការ។ អ្នកលួចក៏អាចចាប់ផ្តើមដំណើរការ Chrome ថ្មីជាមួយនឹង '--remote-debugging-port=' ដើម្បីបើកដំណើរការអន្តរកម្មរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតដោយគ្មានក្បាលនៅលើ DevTools Protocol ដោយមិនចាំបាច់មានអន្តរកម្មរបស់អ្នកប្រើទេ។

យុទ្ធនាការ ClickFix ឆ្លងវេទិកា

ការប្រើប្រាស់ Rust សម្រាប់ EDDIESTEALER បង្ហាញពីនិន្នាការកើនឡើងក្នុងចំណោមអ្នកបង្កើតមេរោគ ដោយប្រើប្រាស់លក្ខណៈពិសេសភាសាទំនើបសម្រាប់ការបំបាំងកាយ ស្ថេរភាព និងការគេចពីការរកឃើញ។

យុទ្ធនាការនេះគឺជាផ្នែកមួយនៃកិច្ចខិតខំប្រឹងប្រែងដ៏ទូលំទូលាយរបស់អ្នកវាយប្រហារ ដើម្បីប្រើប្រាស់យុទ្ធសាស្ត្រ ClickFix លើវេទិកាជាច្រើន។ អ្នកស្រាវជ្រាវនៅ c/side បានសង្កេតឃើញការវាយប្រហារស្រដៀងគ្នានេះសំដៅលើ macOS, Android និង iOS ។ សម្រាប់ macOS JavaScript ព្យាបាទប្តូរទិសទៅទំព័រដែលណែនាំជនរងគ្រោះឱ្យដំណើរការស្គ្រីប Terminal shell ដោយដាក់ពង្រាយ Atomic macOS Stealer (AMOS) ។

សម្រាប់អ្នកចូលមើលប្រព័ន្ធប្រតិបត្តិការ Android, iOS និង Windows គ្រោងការណ៍ទាញយកដោយដ្រាយវ៍ដាក់ពង្រាយមេរោគ Trojan ដាច់ដោយឡែក ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងដ៏ទូលំទូលាយ និងឆ្លងវេទិកា។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការ EDDIESTEALER បង្ហាញពីប្រសិទ្ធភាពនៃវិស្វកម្មសង្គម រួមជាមួយនឹងការអភិវឌ្ឍន៍មេរោគដ៏ទំនើប។ ស្នូលដែលមានមូលដ្ឋានលើ Rust កម្រិតខ្ពស់ ការសម្របខ្លួនឆ្លងវេទិកា និងសមត្ថភាពក្នុងការឆ្លងកាត់ការការពារកម្មវិធីរុករក បង្ហាញពីតម្រូវការដែលកំពុងកើនឡើងសម្រាប់ស្ថាប័ន និងបុគ្គលដើម្បីរក្សាការប្រុងប្រយ័ត្ន និងសកម្មនៅក្នុងឥរិយាបថសុវត្ថិភាពអ៊ីនធឺណិតរបស់ពួកគេ។