Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra EDDIESTEALER ļaunprogrammatūra

EDDIESTEALER ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Ir parādījusies jauna ļaunprogrammatūras kampaņa, kas izplata uzlabotu Rust balstītu informācijas zagli, kas pazīstams kā EDDIESTEALER. Izmantojot gudru sociālās inženierijas taktiku, ko sauc par ClickFix, uzbrucēji pievilina lietotājus, izmantojot viltotas CAPTCHA verifikācijas lapas, lai izpildītu ļaunprātīgus skriptus. Kad EDDIESTEALER ir aktīvs, tas ievāc sensitīvus datus, piemēram, akreditācijas datus, pārlūkprogrammas datus un kriptovalūtas maka informāciju.

Infekcijas ķēde: no viltotas CAPTCHA līdz pilnvērtīgam informācijas zaglim

Uzbrukums sākas ar to, ka likumīgas tīmekļa vietnes tiek apdraudētas ar ļaunprātīgu JavaScript vērtumu. Apmeklētājiem tiek parādīta viltota CAPTCHA lapa, kurā viņiem tiek lūgts "pierādīt, ka neesat robots", izmantojot trīs soļu procesu.
Process ietver:

  • Atverot dialoglodziņu Windows palaišana.
  • Iepriekš kopētas komandas ielīmēšana.
  • Izpilda to, lai pārbaudītu sevi.

Šī šķietami nekaitīgā darbība aktivizē apmulsinātu PowerShell komandu, kas no attālā servera (llll[.]fit) ielādē nākamās pakāpes vērtumu.

Derīgās slodzes izvietošana un nemanāma izpilde

Ļaunprātīgais JavaScript skripts (gverify.js) tiek saglabāts upura lejupielāžu mapē un klusībā izpildīts, izmantojot cscript. Šī starpposma skripta uzdevums ir izgūt EDDIESTEALER bināro failu no tā paša attālā servera, saglabājot to ar nejaušu 12 rakstzīmju faila nosaukumu lejupielāžu mapē.

EDDIESTEALER ļaunprogrammatūra spēj:

  • Apkopojiet sistēmas metadatus.
  • Saņemt norādījumus no vadības un kontroles (C2) servera.
  • Izfiltrēt datus no inficētās sistēmas, tostarp pārlūkprogrammas datus, kriptovalūtas makus, paroļu pārvaldniekus, FTP klientus un ziņojumapmaiņas lietotnes.

Mērķus var pielāgot ar operatoru C2. Piekļuve failiem tiek apstrādāta, izmantojot standarta kernel32.dll funkcijas, piemēram, CreateFileW, GetFileSizeEx, ReadFile un CloseHandle.

Datu eksfiltrācijas un pretanalīzes funkcijas

Pēc katra uzdevuma apkopotie dati tiek šifrēti un nosūtīti uz C2 serveri, izmantojot atsevišķus HTTP POST pieprasījumus. Lai paliktu nepamanīta, ļaunprogrammatūra izmanto:

  • Virknes šifrēšana.
  • Pielāgots WinAPI meklēšanas mehānisms API izsaukumu risināšanai.
  • Mutex, lai nodrošinātu, ka darbojas tikai viens eksemplārs.
  • Pārbauda smilškastes vides un, ja tiek atrastas, izdzēš sevi.

EDDIESTEALER var pat izdzēst sevi, pārdēvējot NTFS alternatīvās datu plūsmas, līdzīgi kā to dara Latrodectus ļaunprogrammatūra, lai apietu failu bloķēšanu.

Chromium izmantošana ar ChromeKatz

Viena no ļaunprogrammatūras satraucošākajām funkcijām ir tās spēja apiet Chromium lietotņu šifrēšanu. Tajā ir integrēta ChromeKatz Rust implementācija — atvērtā pirmkoda rīks, kas paredzēts sīkfailu un akreditācijas datu izvešanai no Chromium bāzes pārlūkprogrammām.

Ja mērķa pārlūkprogramma nedarbojas, EDDIESTEALER palaiž slēptu pārlūkprogrammas instanci, izmantojot komandu '--window-position=-3000,-3000 https://google.com'. Tas ļauj tai piekļūt atmiņai, kas saistīta ar bērnprocesu '-utility-sub-type=network.mojom.NetworkService', galu galā izgūstot akreditācijas datus.

Paplašinātas iespējas atjauninātajos variantos

Jaunākās EDDIESTEALER versijas var arī apkopot:

  • Darbojošie procesi.
  • GPU detaļas.
  • Centrālā procesora kodolu skaits, centrālā procesora nosaukums un pārdevējs.
  • Sistēmas informācija (tiek nosūtīta serverim pat pirms uzdevuma konfigurēšanas).

Turklāt klienta un servera saziņai izmantotā šifrēšanas atslēga ir iekodēta binārajā failā, uzlabojot darbības drošību. Zaglis var arī palaist jaunu Chrome procesu ar '--remote-debugging-port=', lai iespējotu bezgalvas pārlūka mijiedarbību, izmantojot DevTools protokolu, bez lietotāja mijiedarbības.

Starpplatformu ClickFix kampaņa

Rust izmantošana EDDIESTEALER vajadzībām iezīmē pieaugošu tendenci ļaunprogrammatūru izstrādātāju vidū, izmantojot modernas valodas funkcijas, lai nodrošinātu slepenību, stabilitāti un atklāšanas apiešanu.

Šī kampaņa ir daļa no plašākiem uzbrucēju centieniem izmantot ClickFix taktiku vairākās platformās. c/side pētnieki ir novērojuši līdzīgus uzbrukumus, kas vērsti pret macOS, Android un iOS. macOS gadījumā ļaunprātīgais JavaScript kods novirza uz lapu, kurā upuriem tiek dots norādījums palaist termināļa čaulas skriptu, izvietojot Atomic macOS Stealer (AMOS).

Android, iOS un Windows apmeklētājiem drive-by lejupielādes shēma izvieto atsevišķu Trojas zirga ļaunprogrammatūru, padarot to par ļoti daudzpusīgu un starpplatformu apdraudējumu.

Secinājums

EDDIESTEALER kampaņa demonstrē sociālās inženierijas efektivitāti apvienojumā ar sarežģītu ļaunprogrammatūras izstrādi. Tās uzlabotais uz Rust balstītais kodols, pielāgojamība dažādām platformām un spēja apiet pārlūkprogrammu aizsardzību uzsver pieaugošo nepieciešamību organizācijām un privātpersonām saglabāt modrību un proaktivitāti kiberdrošības jomā.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
34,096
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...