Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware EDDIESTEALER

Programe malware EDDIESTEALER

Până în Mezo în Programe malware
Tradu in:

A apărut o nouă campanie de malware, care distribuie un instrument avansat de furt de informații bazat pe Rust, cunoscut sub numele de EDDIESTEALER. Folosind o tactică inteligentă de inginerie socială numită ClickFix, atacatorii atrag utilizatorii prin pagini false de verificare CAPTCHA pentru a executa scripturi rău intenționate. Odată activ, EDDIESTEALER colectează date sensibile, cum ar fi acreditări, date de browser și detalii despre portofelul de criptomonede.

Lanțul de infecții: De la CAPTCHA fals la furt de informații în toată regula

Atacul începe cu site-uri web legitime compromise cu sarcini JavaScript malițioase. Vizitatorilor li se afișează o pagină CAPTCHA falsă care îi îndeamnă să „dovedească că nu sunt robot” printr-un proces în trei pași.
Procesul implică:

  • Deschiderea casetei de dialog Executare Windows.
  • Lipirea unei comenzi precopiate.
  • Executând-o pentru a se verifica.

Acest act aparent inofensiv declanșează o comandă PowerShell ofuscată care preia o sarcină utilă pentru etapa următoare de pe un server la distanță (llll[.]fit).

Implementarea sarcinii utile și execuția ascunsă

Codul JavaScript malițios (gverify.js) este salvat în folderul Descărcări al victimei și executat silențios folosind cscript. Rolul acestui script intermediar este de a recupera fișierul binar EDDIESTEALER de pe același server la distanță, salvându-l cu un nume de fișier aleatoriu de 12 caractere în folderul Descărcări.

Programul malware EDDIESTEALER este capabil să:

  • Colectați metadatele sistemului.
  • Primește instrucțiuni de la un server de comandă și control (C2).
  • Extrageți date din sistemul infectat, inclusiv date de browser, portofele de criptomonede, manageri de parole, clienți FTP și aplicații de mesagerie.

Țintele pot fi ajustate de operatorul C2. Accesul la fișiere este gestionat folosind funcțiile standard kernel32.dll, cum ar fi CreateFileW, GetFileSizeEx, ReadFile și CloseHandle.

Funcții de exfiltrare a datelor și anti-analiză

După fiecare sarcină, datele colectate sunt criptate și trimise către serverul C2 prin cereri HTTP POST separate. Pentru a rămâne discret, malware-ul folosește:

  • Criptarea șirurilor de caractere.
  • Un mecanism personalizat de căutare WinAPI pentru rezolvarea apelurilor API.
  • Un mutex pentru a asigura rularea unei singure instanțe.
  • Verifică mediile sandbox și se autoșterg dacă este detectat.

EDDIESTEALER se poate chiar șterge singur prin redenumirea fluxurilor de date alternative NTFS, similar tehnicilor utilizate de malware-ul Latrodectus, pentru a ocoli blocările fișierelor.

Exploatarea cromului cu ChromeKatz

Una dintre cele mai îngrijorătoare caracteristici ale malware-ului este capacitatea sa de a ocoli criptarea aplicațiilor din Chromium. Acesta integrează o implementare Rust a ChromeKatz, un instrument open-source conceput pentru a elimina cookie-uri și acreditări din browserele bazate pe Chromium.

Dacă browserul vizat nu rulează, EDDIESTEALER lansează o instanță ascunsă a browserului folosind comanda „--window-position=-3000,-3000 https://google.com”. Aceasta îi permite să acceseze memoria asociată cu procesul copil „-utility-sub-type=network.mojom.NetworkService”, extragând în cele din urmă acreditările.

Capacități extinse în variantele actualizate

Versiunile recente ale EDDIESTEALER pot colecta și:

  • Procese care rulează.
  • Detalii despre GPU.
  • Numărul de nuclee CPU, numele CPU și furnizorul.
  • Informații despre sistem (trimise către server chiar înainte de configurarea sarcinii).

În plus, cheia de criptare utilizată pentru comunicarea client-server este codificată fix în fișierul binar, sporind securitatea operațională. De asemenea, furtul de date poate lansa un nou proces Chrome cu „--remote-debugging-port=” pentru a permite interacțiuni fără antet cu browserul prin protocolul DevTools, fără a fi necesară interacțiunea utilizatorului.

Campanie ClickFix multi-platformă

Utilizarea Rust pentru EDDIESTEALER evidențiază o tendință crescândă în rândul dezvoltatorilor de programe malware, care valorifică funcțiile limbajului modern pentru ascundere, stabilitate și evitarea detectării.

Această campanie face parte dintr-un efort mai amplu al atacatorilor de a utiliza tacticile ClickFix pe mai multe platforme. Cercetătorii de la c/side au observat atacuri similare care vizează macOS, Android și iOS. Pentru macOS, JavaScript-ul rău intenționat redirecționează către o pagină care instruiește victimele să execute un script Terminal shell, implementând Atomic macOS Stealer (AMOS).

Pentru vizitatorii de pe Android, iOS și Windows, o schemă de descărcare automată implementează un malware troian separat, ceea ce face ca acesta să fie o amenințare extrem de versatilă și multiplatformă.

Concluzie

Campania EDDIESTEALER demonstrează eficacitatea ingineriei sociale combinate cu dezvoltarea sofisticată de programe malware. Nucleul său avansat bazat pe Rust, adaptabilitatea multi-platformă și capacitatea de a ocoli protecțiile browserului evidențiază nevoia tot mai mare ca organizațiile și persoanele fizice să rămână vigilente și proactive în postura lor de securitate cibernetică.

Trending

Cele mai văzute

Se încarcă...