Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe EDDIESTEALER

Oprogramowanie złośliwe EDDIESTEALER

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Pojawiła się nowa kampania malware, dystrybuująca zaawansowanego złodzieja informacji opartego na Rust, znanego jako EDDIESTEALER. Wykorzystując sprytną taktykę inżynierii społecznej o nazwie ClickFix, atakujący wabią użytkowników przez fałszywe strony weryfikacji CAPTCHA, aby wykonywać złośliwe skrypty. Po aktywacji EDDIESTEALER zbiera poufne dane, takie jak dane uwierzytelniające, dane przeglądarki i szczegóły portfela kryptowaluty.

Łańcuch infekcji: od fałszywej CAPTCHA do pełnoprawnego złodzieja informacji

Atak zaczyna się od naruszenia legalnych stron internetowych za pomocą złośliwych ładunków JavaScript. Odwiedzającym wyświetlana jest fałszywa strona CAPTCHA, która nakazuje im „udowodnić, że nie są robotami” za pomocą trzyetapowego procesu.
Proces obejmuje:

  • Otwieranie okna dialogowego Uruchom systemu Windows.
  • Wklejanie skopiowanego wcześniej polecenia.
  • Wykonują go w celu weryfikacji samych siebie.

Ta pozornie niegroźna czynność uruchamia zaciemnione polecenie programu PowerShell, które pobiera ładunek kolejnego etapu ze zdalnego serwera (llll[.]fit).

Wdrażanie ładunku i dyskretne wykonywanie

Złośliwy JavaScript (gverify.js) jest zapisywany w folderze Downloads ofiary i wykonywany w trybie cichym za pomocą cscript. Rolą tego pośredniego skryptu jest pobranie pliku binarnego EDDIESTEALER z tego samego zdalnego serwera, zapisanie go z losową 12-znakową nazwą pliku w folderze Downloads.

Oprogramowanie malware EDDIESTEALER jest zdolne do:

  • Zbierz metadane systemowe.
  • Odbieranie instrukcji z serwera Command-and-Control (C2).
  • Wykraść dane z zainfekowanego systemu, w tym dane przeglądarki, portfeli kryptowalut, menedżerów haseł, klientów FTP i aplikacji do przesyłania wiadomości.

Cele mogą być dostosowywane przez operatora C2. Dostęp do pliku jest obsługiwany za pomocą standardowych funkcji kernel32.dll, takich jak CreateFileW, GetFileSizeEx, ReadFile i CloseHandle.

Funkcje eksfiltracji danych i ochrony przed analizą

Po każdym zadaniu zebrane dane są szyfrowane i wysyłane do serwera C2 za pośrednictwem oddzielnych żądań HTTP POST. Aby pozostać niezauważonym, malware używa:

  • Szyfrowanie ciągu znaków.
  • Niestandardowy mechanizm wyszukiwania WinAPI służący do rozwiązywania wywołań API.
  • Mutex zapewniający uruchomienie tylko jednej instancji.
  • Sprawdza środowiska piaskownicy i usuwa się w przypadku ich wykrycia.

EDDIESTEALER może nawet usunąć samego siebie poprzez zmianę nazwy alternatywnych strumieni danych NTFS, podobnie jak w przypadku technik wykorzystywanych przez złośliwe oprogramowanie Latrodectus, w celu ominięcia blokad plików.

Wykorzystanie Chromium z ChromeKatz

Jedną z najbardziej niepokojących cech malware jest jego zdolność do omijania szyfrowania aplikacji Chromium. Integruje implementację Rust ChromeKatz, narzędzia typu open source zaprojektowanego do zrzucania plików cookie i poświadczeń z przeglądarek opartych na Chromium.

Jeśli docelowa przeglądarka nie jest uruchomiona, EDDIESTEALER uruchamia ukrytą instancję przeglądarki za pomocą polecenia '--window-position=-3000,-3000 https://google.com'. Umożliwia to dostęp do pamięci powiązanej z procesem potomnym '-utility-sub-type=network.mojom. NetworkService', ostatecznie wyodrębniając poświadczenia.

Rozszerzone możliwości w zaktualizowanych wariantach

Najnowsze wersje EDDIESTEALER mogą również zbierać:

  • Uruchamianie procesów.
  • Szczegóły dotyczące GPU.
  • Liczba rdzeni procesora, nazwa procesora i dostawca.
  • Informacje systemowe (wysyłane na serwer jeszcze przed konfiguracją zadania).

Ponadto klucz szyfrowania używany do komunikacji klient-serwer jest zakodowany na stałe w pliku binarnym, co zwiększa bezpieczeństwo operacyjne. Złodziej może również uruchomić nowy proces Chrome za pomocą '--remote-debugging-port=', aby umożliwić interakcje przeglądarki headless przez DevTools Protocol, bez konieczności interakcji użytkownika.

Kampania ClickFix na wielu platformach

Użycie języka Rust w EDDIESTEALER świadczy o rosnącym trendzie wśród twórców złośliwego oprogramowania, którzy wykorzystują funkcje nowoczesnego języka w celu zapewnienia sobie ukrycia, stabilności i uniknięcia wykrycia.

Ta kampania jest częścią szerszego wysiłku atakujących, aby wykorzystać taktykę ClickFix na wielu platformach. Badacze z c/side zaobserwowali podobne ataki na systemy macOS, Android i iOS. W przypadku systemu macOS złośliwy JavaScript przekierowuje do strony instruującej ofiary, aby uruchomiły skrypt powłoki terminala, wdrażając Atomic macOS Stealer (AMOS).

W przypadku użytkowników systemów Android, iOS i Windows atak typu drive-by download polega na zainstalowaniu oddzielnego złośliwego konia trojańskiego, co sprawia, że jest to niezwykle wszechstronne i wieloplatformowe zagrożenie.

Wniosek

Kampania EDDIESTEALER pokazuje skuteczność inżynierii społecznej w połączeniu z zaawansowanym rozwojem złośliwego oprogramowania. Jej zaawansowany rdzeń oparty na Rust, adaptowalność międzyplatformowa i zdolność do omijania zabezpieczeń przeglądarki podkreślają rosnącą potrzebę, aby organizacje i osoby prywatne pozostały czujne i proaktywne w swojej postawie cyberbezpieczeństwa.

Popularne

Najczęściej oglądane

Ładowanie...