Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare EDDIESTEALER Skadevare

EDDIESTEALER Skadevare

Med Mezo i Skadelig programvare
Oversett til:

En ny skadevarekampanje har dukket opp og distribuerer et avansert Rust-basert informasjonstyveriprogram kjent som EDDIESTEALER. Ved å utnytte en smart sosial manipuleringstaktikk kalt ClickFix, lokker angripere brukere gjennom falske CAPTCHA-verifiseringssider for å kjøre ondsinnede skript. Når den er aktiv, samler EDDIESTEALER sensitive data som påloggingsinformasjon, nettleserdata og detaljer om kryptovalutalommebøker.

Infeksjonskjede: Fra falsk CAPTCHA til fullverdig infotyveri

Angrepet starter med at legitime nettsteder blir kompromittert med ondsinnede JavaScript-nyttelaster. Besøkende får se en falsk CAPTCHA-side som ber dem om å «bevise at de ikke er en robot» via en tretrinnsprosess.
Prosessen innebærer:

  • Åpner Windows Kjør-dialogboksen.
  • Limer inn en forhåndskopiert kommando.
  • Utfører det for å bekrefte seg selv.

Denne tilsynelatende uskyldige handlingen utløser en obfuskert PowerShell-kommando som henter en nyttelast i neste trinn fra en ekstern server (llll[.]fit).

Nyttelastdistribusjon og skjult utførelse

Det ondsinnede JavaScript-skriptet (gverify.js) lagres i offerets nedlastingsmappe og kjøres stille ved hjelp av cscript. Dette mellomliggende skriptets rolle er å hente EDDIESTEALER-binærfilen fra den samme eksterne serveren, og lagre den med et tilfeldig filnavn på 12 tegn i nedlastingsmappen.

EDDIESTEALER-skadevaren er i stand til å:

  • Samle inn systemmetadata.
  • Motta instruksjoner fra en kommando-og-kontroll-server (C2).
  • Eksfiltrere data fra det infiserte systemet, inkludert nettleserdata, kryptovaluta-lommebøker, passordbehandlere, FTP-klienter og meldingsapper.

Mål kan justeres av C2-operatoren. Filtilgang håndteres ved hjelp av standard kernel32.dll-funksjoner som CreateFileW, GetFileSizeEx, ReadFile og CloseHandle.

Datautfiltrering og antianalysefunksjoner

Etter hver oppgave krypteres de innsamlede dataene og sendes til C2-serveren via separate HTTP POST-forespørsler. For å holde seg under radaren bruker skadevaren:

  • Strengkryptering.
  • En tilpasset WinAPI-oppslagsmekanisme for å løse API-kall.
  • En mutex for å sikre at bare én instans kjører.
  • Sjekker etter sandkassemiljøer og sletter seg selv hvis det oppdages.

EDDIESTEALER kan til og med slette seg selv ved å gi nytt navn til NTFS Alternate Data Streams, på samme måte som teknikker som brukes av Latrodectus-skadevare, for å omgå fillåser.

Kromutnyttelse med ChromeKatz

En av de mest bekymringsfulle funksjonene til skadevaren er dens evne til å omgå Chromiums appbundne kryptering. Den integrerer en Rust-implementering av ChromeKatz, et åpen kildekode-verktøy designet for å dumpe informasjonskapsler og påloggingsinformasjon fra Chromium-baserte nettlesere.

Hvis den målrettede nettleseren ikke kjører, starter EDDIESTEALER en skjult nettleserinstans ved hjelp av kommandoen '--window-position=-3000,-3000 https://google.com'. Dette gir den tilgang til minne tilknyttet underprosessen '-utility-sub-type=network.mojom. NetworkService', og trekker til slutt ut legitimasjonsinformasjon.

Utvidede muligheter i oppdaterte varianter

Nyere versjoner av EDDIESTEALER kan også samle inn:

  • Kjørende prosesser.
  • GPU-detaljer.
  • Antall CPU-kjerner, CPU-navn og leverandør.
  • Systeminformasjon (sendes til serveren selv før oppgavekonfigurasjon).

I tillegg er krypteringsnøkkelen som brukes for klient-til-server-kommunikasjon hardkodet inn i binærfilen, noe som forbedrer driftssikkerheten. Tyveren kan også starte en ny Chrome-prosess med '--remote-debugging-port=' for å muliggjøre headless nettleserinteraksjoner over DevTools-protokollen, uten at brukerinteraksjon kreves.

ClickFix-kampanje på tvers av plattformer

Bruken av Rust for EDDIESTEALER fremhever en voksende trend blant utviklere av skadevare, som utnytter moderne språkfunksjoner for stealth, stabilitet og unngåelse av deteksjon.

Denne kampanjen er en del av en bredere innsats fra angripere for å utnytte ClickFix-taktikker på tvers av flere plattformer. Forskere ved c/side har observert lignende angrep rettet mot macOS, Android og iOS. For macOS omdirigerer den ondsinnede JavaScript-koden til en side som instruerer ofrene til å kjøre et Terminal-skallskript, og distribuerer dermed Atomic macOS Stealer (AMOS).

For Android-, iOS- og Windows-besøkende bruker et drive-by-nedlastingssystem en separat trojansk skadelig programvare, noe som gjør dette til en svært allsidig og plattformuavhengig trussel.

Konklusjon

EDDIESTEALER-kampanjen demonstrerer effektiviteten til sosial manipulering kombinert med sofistikert utvikling av skadelig programvare. Den avanserte Rust-baserte kjernen, tilpasningsevnen på tvers av plattformer og evnen til å omgå nettleserbeskyttelse fremhever det økende behovet for at organisasjoner og enkeltpersoner forblir årvåkne og proaktive i sin cybersikkerhetsholdning.

Trender

Mest sett

Laster inn...