Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware EDDIESTEALER

Malware EDDIESTEALER

Por Mezo em Malware
Traduzir Para:

Uma nova campanha de malware surgiu, distribuindo um avançado ladrão de informações baseado em Rust, conhecido como EDDIESTEALER. Utilizando uma tática inteligente de engenharia social chamada ClickFix, os invasores atraem usuários por meio de páginas falsas de verificação de CAPTCHA para executar scripts maliciosos. Uma vez ativo, o EDDIESTEALER coleta dados confidenciais, como credenciais, dados do navegador e detalhes de carteiras de criptomoedas.

Cadeia de infecção: do falso CAPTCHA ao verdadeiro ladrão de informações

O ataque começa com sites legítimos sendo comprometidos com payloads maliciosos de JavaScript. Os visitantes recebem uma página falsa de CAPTCHA, solicitando que "provem que não são robôs" por meio de um processo de três etapas.
O processo envolve:

  • Abrindo a caixa de diálogo Executar do Windows.
  • Colando um comando pré-copiado.
  • Executando-o para verificar a si mesmos.

Esse ato aparentemente inócuo aciona um comando ofuscado do PowerShell que busca uma carga útil de próximo estágio de um servidor remoto (llll[.]fit).

Implantação de carga útil e execução furtiva

O JavaScript malicioso (gverify.js) é salvo na pasta Downloads da vítima e executado silenciosamente usando cscript. A função desse script intermediário é recuperar o binário EDDIESTEALER do mesmo servidor remoto, salvando-o com um nome de arquivo aleatório de 12 caracteres na pasta Downloads.

O malware EDDIESTEALER é capaz de:

  • Coletar metadados do sistema.
  • Receba instruções de um servidor de Comando e Controle (C2).
  • Exfiltre dados do sistema infectado, incluindo dados do navegador, carteiras de criptomoedas, gerenciadores de senhas, clientes FTP e aplicativos de mensagens.

Os alvos podem ser ajustados pelo operador C2. O acesso aos arquivos é feito usando funções padrão do kernel32.dll, como CreateFileW, GetFileSizeEx, ReadFile e CloseHandle.

Recursos de exfiltração de dados e antianálise

Após cada tarefa, os dados coletados são criptografados e enviados ao servidor C2 por meio de solicitações HTTP POST separadas. Para se manter discreto, o malware utiliza:

  • Criptografia de string.
  • Um mecanismo de consulta WinAPI personalizado para resolver chamadas de API.
  • Um mutex para garantir que apenas uma instância seja executada.
  • Verifica ambientes em sandbox e se auto-exclui se detectado.

O EDDIESTEALER pode até mesmo se autoexcluir renomeando NTFS Alternate Data Streams, semelhante às técnicas usadas pelo malware Latrodectus, para ignorar bloqueios de arquivos.

Exploração de Chromium com ChromeKatz

Um dos recursos mais preocupantes do malware é sua capacidade de contornar a criptografia de aplicativos do Chromium. Ele integra uma implementação Rust do ChromeKatz, uma ferramenta de código aberto projetada para remover cookies e credenciais de navegadores baseados no Chromium.

Se o navegador alvo não estiver em execução, o EDDIESTEALER inicia uma instância oculta do navegador usando o comando '--window-position=-3000,-3000 https://google.com'. Isso permite que ele acesse a memória associada ao processo filho '-utility-sub-type=network.mojom. NetworkService', extraindo credenciais.

Capacidades expandidas em variantes atualizadas

Versões recentes do EDDIESTEALER também podem reunir:

  • Processos em execução.
  • Detalhes da GPU.
  • Número de núcleos de CPU, nome da CPU e fornecedor.
  • Informações do sistema (enviadas ao servidor antes mesmo da configuração da tarefa).

Além disso, a chave de criptografia usada para a comunicação cliente-servidor é codificada no binário, aumentando a segurança operacional. O ladrão também pode iniciar um novo processo do Chrome com '--remote-debugging-port=' para permitir interações headless do navegador via Protocolo DevTools, sem a necessidade de interação do usuário.

Campanha ClickFix multiplataforma

O uso de Rust para EDDIESTEALER destaca uma tendência crescente entre desenvolvedores de malware, aproveitando recursos de linguagem modernos para furtividade, estabilidade e evasão de detecção.

Esta campanha faz parte de um esforço mais amplo dos invasores para utilizar as táticas do ClickFix em diversas plataformas. Pesquisadores da c/side observaram ataques semelhantes direcionados a macOS, Android e iOS. No macOS, o JavaScript malicioso redireciona para uma página que instrui as vítimas a executar um script de shell do Terminal, implantando o Atomic macOS Stealer (AMOS).

Para visitantes de Android, iOS e Windows, um esquema de download drive-by implanta um malware Trojan separado, tornando-o uma ameaça altamente versátil e multiplataforma.

Conclusão

A campanha EDDIESTEALER demonstra a eficácia da engenharia social combinada com o desenvolvimento sofisticado de malware. Seu núcleo avançado baseado em Rust, adaptabilidade entre plataformas e capacidade de contornar as proteções dos navegadores destacam a crescente necessidade de organizações e indivíduos permanecerem vigilantes e proativos em suas posturas de segurança cibernética.

Tendendo

Mais visto

Carregando...