EDDIESTEALER मालवेयर
EDDIESTEALER भनेर चिनिने उन्नत रस्ट-आधारित जानकारी चोरी गर्ने उपकरण वितरण गर्ने नयाँ मालवेयर अभियान देखा परेको छ। ClickFix भनिने चतुर सामाजिक इन्जिनियरिङ रणनीति प्रयोग गर्दै, आक्रमणकारीहरूले प्रयोगकर्ताहरूलाई नक्कली CAPTCHA प्रमाणिकरण पृष्ठहरू मार्फत दुर्भावनापूर्ण स्क्रिप्टहरू कार्यान्वयन गर्न लोभ्याउँछन्। एक पटक सक्रिय भएपछि, EDDIESTEALER ले प्रमाणहरू, ब्राउजर डेटा, र क्रिप्टोकरेन्सी वालेट विवरणहरू जस्ता संवेदनशील डेटा सङ्कलन गर्दछ।
सामग्रीको तालिका
संक्रमण शृङ्खला: नक्कली क्याप्चादेखि पूर्ण रूपमा प्रकाशित जानकारी चोरसम्म
आक्रमण वैध वेबसाइटहरूलाई दुर्भावनापूर्ण जाभास्क्रिप्ट पेलोडहरूसँग सम्झौता गरेर सुरु हुन्छ। आगन्तुकहरूलाई नक्कली क्याप्चा पृष्ठ देखाइन्छ जसले उनीहरूलाई तीन-चरण प्रक्रिया मार्फत "तपाईं रोबोट होइन भनेर प्रमाणित गर्न" प्रेरित गर्दछ।
प्रक्रियामा समावेश छ:
- विन्डोज रन संवाद खोल्दै।
- पहिले नै प्रतिलिपि गरिएको आदेश टाँस्दै।
- आफूलाई प्रमाणित गर्न यसलाई कार्यान्वयन गर्दै।
यो देखिने निर्दोष कार्यले एउटा अस्पष्ट PowerShell आदेशलाई ट्रिगर गर्छ जसले रिमोट सर्भरबाट अर्को चरणको पेलोड ल्याउँछ (llll[.]fit)।
पेलोड डिप्लोयमेन्ट र स्टिल्थी कार्यान्वयन
दुर्भावनापूर्ण जाभास्क्रिप्ट (gverify.js) पीडितको डाउनलोड फोल्डरमा बचत गरिन्छ र cscript प्रयोग गरेर चुपचाप कार्यान्वयन गरिन्छ। यो मध्यवर्ती स्क्रिप्टको भूमिका EDDIESTEALER बाइनरीलाई उही रिमोट सर्भरबाट पुन: प्राप्त गर्नु हो, यसलाई डाउनलोड फोल्डरमा अनियमित १२-वर्णको फाइलनामको साथ बचत गर्नु हो।
EDDIESTEALER मालवेयर निम्न गर्न सक्षम छ:
- प्रणाली मेटाडेटा सङ्कलन गर्नुहोस्।
- कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरबाट निर्देशनहरू प्राप्त गर्नुहोस्।
- संक्रमित प्रणालीबाट ब्राउजर डेटा, क्रिप्टोकरेन्सी वालेटहरू, पासवर्ड प्रबन्धकहरू, FTP क्लाइन्टहरू, र सन्देश अनुप्रयोगहरू सहितको डेटा एक्सफिल्टरेट गर्नुहोस्।
लक्ष्यहरू C2 अपरेटरद्वारा समायोजन गर्न सकिन्छ। फाइल पहुँच मानक kernel32.dll प्रकार्यहरू जस्तै CreateFileW, GetFileSizeEx, ReadFile, र CloseHandle प्रयोग गरेर ह्यान्डल गरिन्छ।
डेटा एक्सफिल्ट्रेसन र एन्टी-एनालिसिस सुविधाहरू
प्रत्येक कार्य पछि, सङ्कलन गरिएको डेटा इन्क्रिप्ट गरिन्छ र छुट्टै HTTP POST अनुरोधहरू मार्फत C2 सर्भरमा पठाइन्छ। रडार अन्तर्गत रहन, मालवेयरले प्रयोग गर्दछ:
- स्ट्रिङ इन्क्रिप्शन।
EDDIESTEALER ले फाइल लकहरू बाइपास गर्न Latrodectus मालवेयरले प्रयोग गर्ने प्रविधिहरू जस्तै NTFS Alternate Data Streams को नाम परिवर्तन गरेर पनि आफूलाई मेटाउन सक्छ।
ChromeKatz सँग क्रोमियम शोषण
मालवेयरको सबैभन्दा चिन्ताजनक विशेषताहरू मध्ये एक क्रोमियमको एप-बाउन्ड इन्क्रिप्सनलाई बाइपास गर्ने क्षमता हो। यसले क्रोमक्याट्जको रस्ट कार्यान्वयनलाई एकीकृत गर्दछ, जुन क्रोमियम-आधारित ब्राउजरहरूबाट कुकीहरू र प्रमाणहरू डम्प गर्न डिजाइन गरिएको खुला स्रोत उपकरण हो।
यदि लक्षित ब्राउजर चलिरहेको छैन भने, EDDIESTEALER ले '--window-position=-3000,-3000 https://google.com कमाण्ड' प्रयोग गरेर लुकेको ब्राउजर इन्स्ट्यान्स सुरु गर्छ। यसले यसलाई '-utility-sub-type=network.mojom. NetworkService' चाइल्ड प्रक्रियासँग सम्बन्धित मेमोरी पहुँच गर्न अनुमति दिन्छ, अन्ततः प्रमाणहरू निकाल्छ।
अद्यावधिक गरिएका भेरियन्टहरूमा विस्तारित क्षमताहरू
EDDIESTEALER का हालसालैका संस्करणहरूले पनि यी कुराहरू सङ्कलन गर्न सक्छन्:
- चलिरहेका प्रक्रियाहरू।
- GPU विवरणहरू।
- CPU कोरहरूको संख्या, CPU नाम, र विक्रेता।
- प्रणाली जानकारी (कार्य कन्फिगरेसन अघि नै सर्भरमा पठाइएको)।
थप रूपमा, क्लाइन्ट-टु-सर्भर सञ्चारको लागि प्रयोग गरिने इन्क्रिप्शन कुञ्जी बाइनरीमा हार्ड-कोड गरिएको छ, जसले सञ्चालन सुरक्षा बढाउँछ। चोरी गर्नेले DevTools प्रोटोकलमा हेडलेस ब्राउजर अन्तरक्रियाहरू सक्षम पार्न '--remote-debugging-port=' को साथ नयाँ क्रोम प्रक्रिया पनि सुरु गर्न सक्छ, कुनै प्रयोगकर्ता अन्तरक्रिया आवश्यक पर्दैन।
क्रस-प्लेटफर्म क्लिकफिक्स अभियान
EDDIESTEALER को लागि Rust को प्रयोगले मालवेयर विकासकर्ताहरूमाझ बढ्दो प्रवृत्तिलाई हाइलाइट गर्दछ, जसले चोरी, स्थिरता, र पत्ता लगाउनबाट बच्न आधुनिक भाषा सुविधाहरूको लाभ उठाउँछ।
यो अभियान आक्रमणकारीहरूले धेरै प्लेटफर्महरूमा ClickFix रणनीतिहरू प्रयोग गर्ने व्यापक प्रयासको अंश हो। c/side का अनुसन्धानकर्ताहरूले macOS, Android, र iOS लाई लक्षित गर्दै यस्तै आक्रमणहरू अवलोकन गरेका छन्। macOS को लागि, दुर्भावनापूर्ण JavaScript ले पीडितहरूलाई टर्मिनल शेल स्क्रिप्ट चलाउन निर्देशन दिने पृष्ठमा रिडिरेक्ट गर्छ, Atomic macOS Stealer (AMOS) तैनाथ गर्दै।
एन्ड्रोइड, आईओएस र विन्डोज आगन्तुकहरूका लागि, ड्राइभ-बाई डाउनलोड योजनाले छुट्टै ट्रोजन मालवेयर तैनाथ गर्छ, जसले यसलाई अत्यधिक बहुमुखी र क्रस-प्लेटफर्म खतरा बनाउँछ।
निष्कर्ष
EDDIESTEALER अभियानले परिष्कृत मालवेयर विकाससँग मिलेर सामाजिक इन्जिनियरिङको प्रभावकारिता प्रदर्शन गर्दछ। यसको उन्नत रस्ट-आधारित कोर, क्रस-प्लेटफर्म अनुकूलन क्षमता, र ब्राउजर सुरक्षाहरूलाई बाइपास गर्ने क्षमताले संस्थाहरू र व्यक्तिहरूलाई उनीहरूको साइबर सुरक्षा मुद्रामा सतर्क र सक्रिय रहन बढ्दो आवश्यकतालाई प्रकाश पार्छ।
