Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa EDDIESTEALER kenkėjiška programa

EDDIESTEALER kenkėjiška programa

Autorius Mezo, Kenkėjiška programa
Versti į:

Atsirado nauja kenkėjiškų programų kampanija, platinanti pažangų „Rust“ pagrindu sukurtą informacijos vagystės įrankį, vadinamą EDDIESTEALER. Pasitelkdami sumanią socialinės inžinerijos taktiką, vadinamą „ClickFix“, užpuolikai vilioja vartotojus per suklastotus CAPTCHA patvirtinimo puslapius, kad šie vykdytų kenkėjiškus scenarijus. Suaktyvėjęs EDDIESTEALER renka jautrius duomenis, tokius kaip prisijungimo duomenys, naršyklės duomenys ir kriptovaliutų piniginės informacija.

Užkrato grandinė: nuo netikro CAPTCHA iki tikro informacijos vagystės

Ataka prasideda nuo to, kad teisėtos svetainės yra užkrėstos kenkėjiškais „JavaScript“ kodais. Lankytojams rodomas netikras CAPTCHA puslapis, kuriame jie raginami „įrodyti, kad nesate robotas“ atliekant trijų žingsnių procesą.
Procesas apima:

  • Atidaromas „Windows“ vykdymo dialogo langas.
  • Iš anksto nukopijuotos komandos įklijavimas.
  • Vykdo tai, kad patikrintų save.

Šis, atrodytų, nekenksmingas veiksmas suaktyvina užmaskuotą „PowerShell“ komandą, kuri iš nuotolinio serverio (llll[.]fit) nuskaito kito etapo naudingąją apkrovą.

Naudingųjų krovinių išdėstymas ir slaptas vykdymas

Kenkėjiškas „JavaScript“ kodas (gverify.js) išsaugomas aukos atsisiuntimų aplanke ir tyliai vykdomas naudojant „cscript“. Šio tarpinio scenarijaus vaidmuo yra nuskaityti EDDIESTEALER dvejetainį failą iš to paties nuotolinio serverio ir išsaugoti jį atsitiktiniu 12 simbolių failo pavadinimu atsisiuntimų aplanke.

Kenkėjiška programa EDDIESTEALER gali:

  • Surinkite sistemos metaduomenis.
  • Gaukite instrukcijas iš komandų ir kontrolės (C2) serverio.
  • Iš užkrėstos sistemos išfiltruoti duomenis, įskaitant naršyklės duomenis, kriptovaliutų pinigines, slaptažodžių tvarkykles, FTP klientus ir pranešimų siuntimo programas.

Tikslus galima koreguoti naudojant C2 operatorių. Prieiga prie failų tvarkoma naudojant standartines kernel32.dll funkcijas, tokias kaip CreateFileW, GetFileSizeEx, ReadFile ir CloseHandle.

Duomenų išgavimo ir antianalizės funkcijos

Po kiekvienos užduoties surinkti duomenys yra užšifruojami ir siunčiami į C2 serverį atskiromis HTTP POST užklausomis. Kad išliktų nepastebėta, kenkėjiška programa naudoja:

  • Eilučių šifravimas.
  • Pasirinktinis „WinAPI“ paieškos mechanizmas API iškvietimams išspręsti.
  • Mutex, užtikrinantis, kad veiktų tik vienas egzempliorius.
  • Tikrina, ar nėra smėlio dėžės tipo aplinkų, ir, jei aptinka, ištrina save.

EDDIESTEALER netgi gali save ištrinti pervadindamas NTFS alternatyvius duomenų srautus, panašiai kaip „Latrodectus“ kenkėjiška programa naudoja metodus, kad apeitų failų užraktus.

„Chromium“ atakų išnaudojimas naudojant „ChromeKatz“

Viena labiausiai nerimą keliančių kenkėjiškos programos savybių yra jos gebėjimas apeiti „Chromium“ programoms taikomą šifravimą. Ji integruoja „ChromeKatz“ – atvirojo kodo įrankio, skirto slapukų ir prisijungimo duomenų išgavimui iš „Chromium“ pagrindu veikiančių naršyklių, – „Rust“ versiją.

Jei tikslinė naršyklė neveikia, EDDIESTEALER paleidžia paslėptą naršyklės egzempliorių naudodamas komandą „--window-position=-3000,-3000 https://google.com“. Tai leidžia jam pasiekti atmintį, susietą su antriniu procesu „-utility-sub-type=network.mojom.NetworkService“, ir galiausiai išgauti prisijungimo duomenis.

Išplėstos atnaujintų variantų galimybės

Naujausios EDDIESTEALER versijos taip pat gali rinkti:

  • Vykdomi procesai.
  • GPU detalės.
  • CPU branduolių skaičius, CPU pavadinimas ir tiekėjas.
  • Sistemos informacija (išsiunčiama serveriui dar prieš užduoties konfigūravimą).

Be to, kliento ir serverio ryšiui naudojamas šifravimo raktas yra užkoduotas dvejetainiame faile, taip padidinant operacinį saugumą. Vagys taip pat gali paleisti naują „Chrome“ procesą naudodamas „--remote-debugging-port=“, kad įgalintų neinvazinę naršyklės sąveiką per „DevTools“ protokolą, nereikalaujant jokios vartotojo intervencijos.

Kelių platformų „ClickFix“ kampanija

„Rust“ naudojimas EDDIESTEALER sistemoje pabrėžia augančią tendenciją tarp kenkėjiškų programų kūrėjų naudoti modernias kalbos funkcijas, siekiant paslėpti, stabilizuoti ir išvengti aptikimo.

Ši kampanija yra platesnių užpuolikų pastangų panaudoti „ClickFix“ taktiką keliose platformose dalis. „c/side“ tyrėjai pastebėjo panašių atakų, nukreiptų į „macOS“, „Android“ ir „iOS“. „macOS“ atveju kenkėjiškas „JavaScript“ kodas nukreipia į puslapį, kuriame aukoms nurodoma paleisti terminalo apvalkalo scenarijų, diegiant „Atomic macOS Stealer“ (AMOS).

„Android“, „iOS“ ir „Windows“ lankytojams automatinio atsisiuntimo schema diegia atskirą Trojos arklį, todėl tai yra labai universali ir keliose platformose veikianti grėsmė.

Išvada

EDDIESTEALER kampanija demonstruoja socialinės inžinerijos ir sudėtingos kenkėjiškų programų kūrimo derinio efektyvumą. Jos pažangus „Rust“ pagrindu sukurtas branduolys, pritaikomumas kelioms platformoms ir gebėjimas apeiti naršyklių apsaugas pabrėžia augantį organizacijų ir asmenų poreikį išlikti budriems ir iniciatyviems savo kibernetinio saugumo srityje.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
34,096
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...