EDDIESTEALER Malware

ਇੱਕ ਨਵਾਂ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਸਾਹਮਣੇ ਆਇਆ ਹੈ, ਜੋ EDDIESTEALER ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਉੱਨਤ Rust-ਅਧਾਰਤ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਨੂੰ ਵੰਡਦਾ ਹੈ। ClickFix ਨਾਮਕ ਇੱਕ ਚਲਾਕ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਹਮਲਾਵਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਕਲੀ CAPTCHA ਤਸਦੀਕ ਪੰਨਿਆਂ ਰਾਹੀਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਲੁਭਾਉਂਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, EDDIESTEALER ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਜਿਵੇਂ ਕਿ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲਿਟ ਵੇਰਵੇ ਇਕੱਠਾ ਕਰਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ: ਨਕਲੀ ਕੈਪਚਾ ਤੋਂ ਲੈ ਕੇ ਪੂਰੇ ਇਨਫੋਸਟੀਲਰ ਤੱਕ

ਇਹ ਹਮਲਾ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਖਤਰਨਾਕ JavaScript ਪੇਲੋਡ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਸੈਲਾਨੀਆਂ ਨੂੰ ਇੱਕ ਨਕਲੀ ਕੈਪਚਾ ਪੰਨਾ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ ਤਿੰਨ-ਪੜਾਅ ਦੀ ਪ੍ਰਕਿਰਿਆ ਰਾਹੀਂ "ਇਹ ਸਾਬਤ ਕਰਨ ਲਈ ਕਹਿੰਦਾ ਹੈ ਕਿ ਤੁਸੀਂ ਰੋਬੋਟ ਨਹੀਂ ਹੋ"।
ਇਸ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਖੋਲ੍ਹ ਰਿਹਾ ਹੈ।
• ਪਹਿਲਾਂ ਤੋਂ ਕਾਪੀ ਕੀਤੀ ਕਮਾਂਡ ਪੇਸਟ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
• ਆਪਣੇ ਆਪ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਇਸਨੂੰ ਲਾਗੂ ਕਰਨਾ।

ਇਹ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਨਿਰਦੋਸ਼ ਕੰਮ ਇੱਕ ਅਸਪਸ਼ਟ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ (llll[.]fit) ਤੋਂ ਅਗਲੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਪੇਲੋਡ ਤੈਨਾਤੀ ਅਤੇ ਸਟੀਲਥੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਖਤਰਨਾਕ JavaScript (gverify.js) ਪੀੜਤ ਦੇ ਡਾਊਨਲੋਡ ਫੋਲਡਰ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ cscript ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚੁੱਪਚਾਪ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਵਿਚਕਾਰਲੀ ਸਕ੍ਰਿਪਟ ਦੀ ਭੂਮਿਕਾ ਉਸੇ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ EDDIESTEALER ਬਾਈਨਰੀ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ, ਇਸਨੂੰ ਡਾਊਨਲੋਡਸ ਫੋਲਡਰ ਵਿੱਚ ਇੱਕ ਬੇਤਰਤੀਬ 12-ਅੱਖਰਾਂ ਦੇ ਫਾਈਲ ਨਾਮ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਹੈ।

EDDIESTEALER ਮਾਲਵੇਅਰ ਇਹ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ:

• ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਇਕੱਠਾ ਕਰੋ।
• ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰੋ।
• ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੋਂ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢੋ, ਜਿਸ ਵਿੱਚ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲਿਟ, ਪਾਸਵਰਡ ਮੈਨੇਜਰ, FTP ਕਲਾਇੰਟ ਅਤੇ ਮੈਸੇਜਿੰਗ ਐਪਸ ਸ਼ਾਮਲ ਹਨ।

ਟਾਰਗੇਟਾਂ ਨੂੰ C2 ਆਪਰੇਟਰ ਦੁਆਰਾ ਐਡਜਸਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਫਾਈਲ ਐਕਸੈਸ ਨੂੰ ਸਟੈਂਡਰਡ kernel32.dll ਫੰਕਸ਼ਨਾਂ ਜਿਵੇਂ ਕਿ CreateFileW, GetFileSizeEx, ReadFile, ਅਤੇ CloseHandle ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ।

ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

ਹਰੇਕ ਕੰਮ ਤੋਂ ਬਾਅਦ, ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਵੱਖਰੇ HTTP POST ਬੇਨਤੀਆਂ ਰਾਹੀਂ C2 ਸਰਵਰ ਨੂੰ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਰਾਡਾਰ ਦੇ ਹੇਠਾਂ ਰਹਿਣ ਲਈ, ਮਾਲਵੇਅਰ ਇਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:

• ਸਟ੍ਰਿੰਗ ਇਨਕ੍ਰਿਪਸ਼ਨ।
• API ਕਾਲਾਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਇੱਕ ਕਸਟਮ WinAPI ਲੁੱਕਅੱਪ ਵਿਧੀ।

• ਇੱਕ ਮਿਊਟੇਕਸ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਸਿਰਫ਼ ਇੱਕ ਹੀ ਇੰਸਟੈਂਸ ਚੱਲਦਾ ਹੈ।

• ਸੈਂਡਬਾਕਸ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਜੇਕਰ ਪਤਾ ਲੱਗਦਾ ਹੈ ਤਾਂ ਆਪਣੇ ਆਪ ਨੂੰ ਮਿਟਾ ਦਿੰਦਾ ਹੈ।

EDDIESTEALER ਫਾਈਲ ਲਾਕ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ, Latrodectus ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਤਕਨੀਕਾਂ ਦੇ ਸਮਾਨ, NTFS ਅਲਟਰਨੇਟ ਡੇਟਾ ਸਟ੍ਰੀਮਜ਼ ਦਾ ਨਾਮ ਬਦਲ ਕੇ ਆਪਣੇ ਆਪ ਨੂੰ ਵੀ ਮਿਟਾ ਸਕਦਾ ਹੈ।

ChromeKatz ਨਾਲ ਕਰੋਮੀਅਮ ਸ਼ੋਸ਼ਣ

ਇਸ ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਭ ਤੋਂ ਚਿੰਤਾਜਨਕ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਸਦੀ ਕ੍ਰੋਮੀਅਮ ਦੇ ਐਪ-ਬਾਊਂਡ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਇਹ ਕ੍ਰੋਮਕੈਟਜ਼ ਦੇ ਰਸਟ ਲਾਗੂਕਰਨ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਟੂਲ ਹੈ ਜੋ ਕ੍ਰੋਮੀਅਮ-ਅਧਾਰਿਤ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਕੂਕੀਜ਼ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਡੰਪ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਜੇਕਰ ਟਾਰਗੇਟ ਕੀਤਾ ਬ੍ਰਾਊਜ਼ਰ ਨਹੀਂ ਚੱਲ ਰਿਹਾ ਹੈ, ਤਾਂ EDDIESTEALER '--window-position=-3000,-3000 https://google.com ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਲੁਕਿਆ ਹੋਇਆ ਬ੍ਰਾਊਜ਼ਰ ਇੰਸਟੈਂਸ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਇਹ ਇਸਨੂੰ '-utility-sub-type=network.mojom. NetworkService' ਚਾਈਲਡ ਪ੍ਰਕਿਰਿਆ ਨਾਲ ਜੁੜੀ ਮੈਮੋਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਅੰਤ ਵਿੱਚ ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ।

ਅੱਪਡੇਟ ਕੀਤੇ ਰੂਪਾਂ ਵਿੱਚ ਵਧੀਆਂ ਸਮਰੱਥਾਵਾਂ

EDDIESTEALER ਦੇ ਹਾਲੀਆ ਸੰਸਕਰਣ ਇਹ ਵੀ ਇਕੱਠੇ ਕਰ ਸਕਦੇ ਹਨ:

• ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ।
• GPU ਵੇਰਵੇ।
• CPU ਕੋਰਾਂ ਦੀ ਗਿਣਤੀ, CPU ਨਾਮ, ਅਤੇ ਵਿਕਰੇਤਾ।
• ਸਿਸਟਮ ਜਾਣਕਾਰੀ (ਕਾਰਜ ਸੰਰਚਨਾ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਸਰਵਰ ਨੂੰ ਭੇਜੀ ਗਈ)।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਲਾਇੰਟ-ਟੂ-ਸਰਵਰ ਸੰਚਾਰ ਲਈ ਵਰਤੀ ਜਾਣ ਵਾਲੀ ਏਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਨੂੰ ਬਾਈਨਰੀ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਾਰਜਸ਼ੀਲ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਚੋਰੀ ਕਰਨ ਵਾਲਾ DevTools ਪ੍ਰੋਟੋਕੋਲ ਉੱਤੇ ਹੈੱਡਲੈੱਸ ਬ੍ਰਾਊਜ਼ਰ ਇੰਟਰੈਕਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ '--remote-debugging-port=' ਨਾਲ ਇੱਕ ਨਵੀਂ Chrome ਪ੍ਰਕਿਰਿਆ ਵੀ ਲਾਂਚ ਕਰ ਸਕਦਾ ਹੈ, ਕਿਸੇ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।

ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਕਲਿੱਕਫਿਕਸ ਮੁਹਿੰਮ

EDDIESTEALER ਲਈ Rust ਦੀ ਵਰਤੋਂ ਮਾਲਵੇਅਰ ਡਿਵੈਲਪਰਾਂ ਵਿੱਚ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਜੋ ਚੋਰੀ, ਸਥਿਰਤਾ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਧੁਨਿਕ ਭਾਸ਼ਾ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ।

ਇਹ ਮੁਹਿੰਮ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਕਈ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ClickFix ਰਣਨੀਤੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਲਈ ਇੱਕ ਵਿਸ਼ਾਲ ਯਤਨ ਦਾ ਹਿੱਸਾ ਹੈ। c/side ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ macOS, Android, ਅਤੇ iOS ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਸਮਾਨ ਹਮਲਿਆਂ ਨੂੰ ਦੇਖਿਆ ਹੈ। macOS ਲਈ, ਖਤਰਨਾਕ JavaScript ਇੱਕ ਪੰਨੇ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਟਰਮੀਨਲ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ, ਜੋ ਐਟੋਮਿਕ macOS ਸਟੀਲਰ (AMOS) ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਐਂਡਰਾਇਡ, ਆਈਓਐਸ, ਅਤੇ ਵਿੰਡੋਜ਼ ਵਿਜ਼ਟਰਾਂ ਲਈ, ਇੱਕ ਡਰਾਈਵ-ਬਾਈ ਡਾਊਨਲੋਡ ਸਕੀਮ ਇੱਕ ਵੱਖਰਾ ਟਰੋਜਨ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ, ਜੋ ਇਸਨੂੰ ਇੱਕ ਬਹੁਤ ਹੀ ਬਹੁਪੱਖੀ ਅਤੇ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਖ਼ਤਰਾ ਬਣਾਉਂਦੀ ਹੈ।

ਸਿੱਟਾ

EDDIESTEALER ਮੁਹਿੰਮ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਸੂਝਵਾਨ ਮਾਲਵੇਅਰ ਵਿਕਾਸ ਦੇ ਨਾਲ ਦਰਸਾਉਂਦੀ ਹੈ। ਇਸਦਾ ਉੱਨਤ ਰਸਟ-ਅਧਾਰਤ ਕੋਰ, ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਅਨੁਕੂਲਤਾ, ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸੰਗਠਨਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਆਪਣੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਵਿੱਚ ਚੌਕਸ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿਣ ਦੀ ਵੱਧ ਰਹੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।