Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware EDDIESTEALER-malware

EDDIESTEALER-malware

Tegen Mezo in Malware
Vertalen naar:

Er is een nieuwe malwarecampagne opgedoken die een geavanceerde, op Rust gebaseerde informatiedief verspreidt, bekend als EDDIESTEALER. Met behulp van een slimme social engineering-tactiek genaamd ClickFix lokken aanvallers gebruikers via valse CAPTCHA-verificatiepagina's om schadelijke scripts uit te voeren. Zodra EDDIESTEALER actief is, verzamelt het gevoelige gegevens zoals inloggegevens, browsergegevens en gegevens van cryptovalutawallets.

Infectieketen: van valse CAPTCHA tot volwaardige infostealer

De aanval begint met het hacken van legitieme websites met schadelijke JavaScript-payloads. Bezoekers krijgen een nep-CAPTCHA-pagina te zien die hen via een proces van drie stappen vraagt om te bewijzen dat ze geen robot zijn.
Het proces omvat:

  • Het Windows-dialoogvenster Uitvoeren openen.
  • Een vooraf gekopieerde opdracht plakken.
  • Ze voeren het uit om zichzelf te verifiëren.

Deze ogenschijnlijk onschuldige handeling activeert een verduisterde PowerShell-opdracht die een volgende-fase-payload ophaalt van een externe server (llll[.]fit).

Payload-implementatie en stealth-uitvoering

De schadelijke JavaScript-code (gverify.js) wordt opgeslagen in de map Downloads van het slachtoffer en stilletjes uitgevoerd met cscript. De rol van dit tussenliggende script is om het EDDIESTEALER-bestand van dezelfde externe server op te halen en het met een willekeurige bestandsnaam van 12 tekens in de map Downloads op te slaan.

EDDIESTEALER-malware kan:

  • Verzamel systeemmetagegevens.
  • Ontvang instructies van een Command-and-Control (C2)-server.
  • Exfiltreer gegevens van het geïnfecteerde systeem, waaronder browsergegevens, cryptocurrency-wallets, wachtwoordbeheerders, FTP-clients en berichten-apps.

Doelen kunnen worden aangepast met de C2-operator. Bestandstoegang wordt afgehandeld met standaard kernel32.dll-functies zoals CreateFileW, GetFileSizeEx, ReadFile en CloseHandle.

Gegevensexfiltratie en anti-analysefuncties

Na elke taak worden de verzamelde gegevens versleuteld en via aparte HTTP POST-verzoeken naar de C2-server verzonden. Om onopgemerkt te blijven, gebruikt de malware:

  • String-encryptie.
  • Een aangepast WinAPI-opzoekmechanisme om API-aanroepen op te lossen.
  • Een mutex om ervoor te zorgen dat er maar één exemplaar wordt uitgevoerd.
  • Controleert op sandbox-omgevingen en verwijdert zichzelf als dit wordt gedetecteerd.

    • EDDIESTEALER kan zichzelf zelfs verwijderen door de naam van NTFS Alternate Data Streams te wijzigen. Dit is vergelijkbaar met de technieken die Latrodectus-malware gebruikt om bestandsvergrendelingen te omzeilen.

    Chromium-exploitatie met ChromeKatz

    Een van de meest verontrustende kenmerken van de malware is de mogelijkheid om de app-gebonden encryptie van Chromium te omzeilen. De malware integreert een Rust-implementatie van ChromeKatz, een open-sourcetool die is ontworpen om cookies en inloggegevens van Chromium-gebaseerde browsers te dumpen.

    Als de doelbrowser niet actief is, start EDDIESTEALER een verborgen browserinstantie met de opdracht '--window-position=-3000,-3000 https://google.com'. Hiermee krijgt EDDIESTEALER toegang tot het geheugen dat is gekoppeld aan het onderliggende proces '-utility-sub-type=network.mojom. NetworkService' en kunnen uiteindelijk de inloggegevens worden opgehaald.

    Uitgebreide mogelijkheden in bijgewerkte varianten

    Recente versies van EDDIESTEALER kunnen ook het volgende verzamelen:

    • Lopende processen.
    • GPU-gegevens.
    • Aantal CPU-kernen, CPU-naam en leverancier.
    • Systeemgegevens (worden al vóór de taakconfiguratie naar de server verzonden).

    Bovendien is de encryptiesleutel die voor client-servercommunicatie wordt gebruikt, hardgecodeerd in het binaire bestand, wat de operationele veiligheid verbetert. De stealer kan ook een nieuw Chrome-proces starten met '--remote-debugging-port=' om headless browserinteractie via het DevTools Protocol mogelijk te maken, zonder gebruikersinteractie.

    Cross-platform ClickFix-campagne

    Het gebruik van Rust voor EDDIESTEALER onderstreept een groeiende trend onder malwareontwikkelaars die moderne taalfuncties gebruiken voor stealth, stabiliteit en het ontwijken van detectie.

    Deze campagne maakt deel uit van een bredere poging van aanvallers om ClickFix-tactieken op meerdere platforms in te zetten. Onderzoekers van c/side hebben vergelijkbare aanvallen waargenomen die gericht waren op macOS, Android en iOS. Voor macOS verwijst de kwaadaardige JavaScript-code door naar een pagina die slachtoffers instrueert een Terminal-shellscript uit te voeren, waarmee de Atomic macOS Stealer (AMOS) wordt geïmplementeerd.

    Voor Android-, iOS- en Windows-gebruikers maakt een drive-by-downloadmethode gebruik van een aparte Trojaanse malware, waardoor dit een zeer veelzijdige en platformonafhankelijke bedreiging is.

    Conclusie

    De EDDIESTEALER-campagne toont de effectiviteit van social engineering in combinatie met geavanceerde malwareontwikkeling. De geavanceerde Rust-gebaseerde kern, platformonafhankelijke aanpasbaarheid en de mogelijkheid om browserbeveiliging te omzeilen, onderstrepen de groeiende noodzaak voor organisaties en individuen om waakzaam en proactief te blijven in hun cybersecuritybeleid.

    Trending

    Meest bekeken

    Bezig met laden...