Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad EDDIESTEALER

Perisian Hasad EDDIESTEALER

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Kempen perisian hasad baharu telah muncul, mengedarkan pencuri maklumat berasaskan Rust termaju yang dikenali sebagai EDDIESTEALER. Memanfaatkan taktik kejuruteraan sosial yang bijak dipanggil ClickFix, penyerang memikat pengguna melalui halaman pengesahan CAPTCHA palsu untuk melaksanakan skrip berniat jahat. Setelah aktif, EDDIESTEALER menuai data sensitif seperti bukti kelayakan, data penyemak imbas dan butiran dompet mata wang kripto.

Rantaian Jangkitan: Daripada CAPTCHA Palsu kepada Penipu Maklumat Penuh

Serangan bermula dengan tapak web yang sah dikompromi dengan muatan JavaScript yang berniat jahat. Pelawat ditunjukkan halaman CAPTCHA palsu yang menggesa mereka untuk "membuktikan anda bukan robot" melalui proses tiga langkah.
Proses tersebut melibatkan:

  • Membuka dialog Windows Run.
  • Menampal perintah yang diprasalin.
  • Melaksanakannya untuk mengesahkan diri mereka sendiri.

Tindakan yang nampaknya tidak berbahaya ini mencetuskan perintah PowerShell yang dikelirukan yang mengambil muatan peringkat seterusnya daripada pelayan jauh (llll[.]fit).

Penyerahan Muatan dan Pelaksanaan Senyap

JavaScript berniat jahat (gverify.js) disimpan ke folder Muat Turun mangsa dan dilaksanakan secara senyap menggunakan cscript. Peranan skrip perantaraan ini adalah untuk mendapatkan semula binari EDDIESTEALER daripada pelayan jauh yang sama, menyimpannya dengan nama fail rawak 12 aksara dalam folder Muat Turun.

Malware EDDIESTEALER mampu:

  • Kumpul metadata sistem.
  • Terima arahan daripada pelayan Command-and-Control (C2).
  • Keluarkan data daripada sistem yang dijangkiti, termasuk data penyemak imbas, dompet mata wang kripto, pengurus kata laluan, pelanggan FTP dan apl pemesejan.

Sasaran boleh dilaraskan oleh pengendali C2. Akses fail dikendalikan menggunakan fungsi kernel32.dll standard seperti CreateFileW, GetFileSizeEx, ReadFile dan CloseHandle.

Ciri Penapisan Data dan Anti-Analisis

Selepas setiap tugasan, data yang dikumpul disulitkan dan dihantar ke pelayan C2 melalui permintaan HTTP POST yang berasingan. Untuk kekal di bawah radar, perisian hasad menggunakan:

  • Penyulitan rentetan.
  • Mekanisme carian WinAPI tersuai untuk menyelesaikan panggilan API.
  • Mutex untuk memastikan hanya satu kejadian dijalankan.
  • Menyemak persekitaran kotak pasir, memadam sendiri jika dikesan.

EDDIESTEALER malah boleh memadamkan dirinya sendiri dengan menamakan semula Strim Data Ganti NTFS, serupa dengan teknik yang digunakan oleh perisian hasad Latrodectus, untuk memintas kunci fail.

Eksploitasi Chromium dengan ChromeKatz

Salah satu ciri perisian hasad yang paling membimbangkan ialah keupayaannya untuk memintas penyulitan terikat aplikasi Chromium. Ia menyepadukan pelaksanaan Rust ChromeKatz, alat sumber terbuka yang direka untuk membuang kuki dan bukti kelayakan daripada penyemak imbas berasaskan Chromium.

Jika penyemak imbas yang disasarkan tidak berjalan, EDDIESTEALER melancarkan tika penyemak imbas tersembunyi menggunakan arahan '--window-position=-3000,-3000 https://google.com.' Ini membolehkannya mengakses memori yang dikaitkan dengan '-utility-sub-type=network.mojom. proses anak NetworkService, akhirnya mengekstrak kelayakan.

Keupayaan Dikembangkan dalam Varian Dikemaskini

Versi terbaru EDDIESTEALER juga boleh mengumpulkan:

  • Menjalankan proses.
  • Butiran GPU.
  • Bilangan teras CPU, nama CPU dan vendor.
  • Maklumat sistem (dihantar ke pelayan walaupun sebelum konfigurasi tugas).

Selain itu, kunci penyulitan yang digunakan untuk komunikasi klien-ke-pelayan dikodkan keras ke dalam binari, meningkatkan keselamatan operasi. Pencuri juga boleh melancarkan proses Chrome baharu dengan '--remote-debugging-port=' untuk mendayakan interaksi penyemak imbas tanpa kepala melalui DevTools Protocol, tiada interaksi pengguna diperlukan.

Kempen ClickFix Merentas Platform

Penggunaan Rust untuk EDDIESTEALER menyerlahkan trend yang semakin meningkat dalam kalangan pembangun perisian hasad, memanfaatkan ciri bahasa moden untuk senyap, kestabilan dan pengelakan pengesanan.

Kempen ini adalah sebahagian daripada usaha yang lebih luas oleh penyerang untuk memanfaatkan taktik ClickFix merentas berbilang platform. Penyelidik di c/side telah memerhatikan serangan serupa yang menyasarkan macOS, Android dan iOS. Untuk macOS, JavaScript berniat jahat mengubah hala ke halaman yang mengarahkan mangsa untuk menjalankan skrip shell Terminal, menggunakan Atomic macOS Stealer (AMOS).

Untuk pelawat Android, iOS dan Windows, skim muat turun pandu-demi menggunakan perisian hasad Trojan yang berasingan, menjadikan ini ancaman yang sangat serba boleh dan merentas platform.

Kesimpulan

Kempen EDDIESTEALER menunjukkan keberkesanan kejuruteraan sosial digabungkan dengan pembangunan perisian hasad yang canggih. Teras berasaskan Rust yang canggih, kebolehsuaian merentas platform dan keupayaan untuk memintas perlindungan penyemak imbas menyerlahkan keperluan yang semakin meningkat untuk organisasi dan individu untuk terus berwaspada dan proaktif dalam postur keselamatan siber mereka.

Trending

Paling banyak dilihat

Memuatkan...