Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО EDDIESTEALER

Вредоносное ПО EDDIESTEALER

К Mezo году в Вредоносное ПО году
Перевести на:

Появилась новая вредоносная кампания, распространяющая усовершенствованный похититель информации на основе Rust, известный как EDDIESTEALER. Используя хитрую тактику социальной инженерии под названием ClickFix, злоумышленники заманивают пользователей через поддельные страницы проверки CAPTCHA для выполнения вредоносных скриптов. После активации EDDIESTEALER собирает конфиденциальные данные, такие как учетные данные, данные браузера и данные криптовалютного кошелька.

Цепочка заражения: от поддельной CAPTCHA до полноценного похитителя информации

Атака начинается с того, что легитимные веб-сайты подвергаются взлому с помощью вредоносных полезных нагрузок JavaScript. Посетителям показывается поддельная страница CAPTCHA, предлагающая им «доказать, что вы не робот» с помощью трехэтапного процесса.
Процесс включает в себя:

  • Открытие диалогового окна «Выполнить» Windows.
  • Вставка предварительно скопированной команды.
  • Выполняют его, чтобы удостовериться в себе.

Это, казалось бы, безобидное действие запускает запутанную команду PowerShell, которая извлекает полезную нагрузку следующего этапа с удаленного сервера (llll[.]fit).

Развертывание полезной нагрузки и скрытное выполнение

Вредоносный JavaScript (gverify.js) сохраняется в папке Downloads жертвы и выполняется молча с помощью cscript. Роль этого промежуточного скрипта заключается в извлечении двоичного файла EDDIESTEALER с того же удаленного сервера, сохраняя его со случайным 12-символьным именем файла в папке Downloads.

Вредоносная программа EDDIESTEALER способна:

  • Собирайте системные метаданные.
  • Получайте инструкции от сервера командования и управления (C2).
  • Извлеките данные из зараженной системы, включая данные браузера, криптовалютные кошельки, менеджеры паролей, FTP-клиенты и приложения для обмена сообщениями.

Цели можно настроить с помощью оператора C2. Доступ к файлам осуществляется с помощью стандартных функций kernel32.dll, таких как CreateFileW, GetFileSizeEx, ReadFile и CloseHandle.

Функции эксфильтрации данных и антианализа

После каждой задачи собранные данные шифруются и отправляются на сервер C2 через отдельные запросы HTTP POST. Чтобы оставаться незамеченным, вредоносная программа использует:

  • Шифрование строк.
  • Специальный механизм поиска WinAPI для разрешения вызовов API.
  • Мьютекс, гарантирующий запуск только одного экземпляра.
  • Проверяет наличие изолированных сред и удаляет себя при обнаружении.

EDDIESTEALER может даже удалить себя, переименовав альтернативные потоки данных NTFS, аналогично методам, используемым вредоносным ПО Latrodectus, для обхода блокировок файлов.

Эксплуатация Chromium с помощью ChromeKatz

Одной из самых тревожных особенностей вредоносного ПО является его способность обходить шифрование Chromium, привязанное к приложению. Он интегрирует реализацию Rust ChromeKatz, инструмента с открытым исходным кодом, предназначенного для дампа файлов cookie и учетных данных из браузеров на базе Chromium.

Если целевой браузер не запущен, EDDIESTEALER запускает скрытый экземпляр браузера с помощью команды '--window-position=-3000,-3000 https://google.com'. Это позволяет ему получить доступ к памяти, связанной с дочерним процессом '-utility-sub-type=network.mojom. NetworkService', в конечном итоге извлекая учетные данные.

Расширенные возможности в обновленных вариантах

Последние версии EDDIESTEALER также могут собирать:

  • Запуск процессов.
  • Подробности графического процессора.
  • Количество ядер ЦП, название ЦП и поставщик.
  • Системная информация (отправляется на сервер еще до настройки задачи).

Кроме того, ключ шифрования, используемый для связи клиент-сервер, жестко закодирован в двоичном коде, что повышает операционную безопасность. Вор также может запустить новый процесс Chrome с '--remote-debugging-port=', чтобы включить headless-взаимодействие браузера по протоколу DevTools, без необходимости взаимодействия с пользователем.

Кроссплатформенная кампания ClickFix

Использование Rust для EDDIESTEALER подчеркивает растущую тенденцию среди разработчиков вредоносных программ использовать современные языковые возможности для скрытности, стабильности и уклонения от обнаружения.

Эта кампания является частью более широких усилий злоумышленников по использованию тактики ClickFix на нескольких платформах. Исследователи c/side наблюдали похожие атаки, нацеленные на macOS, Android и iOS. Для macOS вредоносный JavaScript перенаправляет на страницу, инструктирующую жертв запустить скрипт оболочки терминала, развертывая Atomic macOS Stealer (AMOS).

Для пользователей Android, iOS и Windows схема скрытой загрузки развертывает отдельную вредоносную троянскую программу, что делает ее универсальной и кроссплатформенной угрозой.

Заключение

Кампания EDDIESTEALER демонстрирует эффективность социальной инженерии в сочетании с разработкой сложных вредоносных программ. Ее передовое ядро на основе Rust, кроссплатформенная адаптивность и способность обходить защиту браузера подчеркивают растущую потребность организаций и отдельных лиц оставаться бдительными и проактивными в своей позиции кибербезопасности.

В тренде

Perwousesoc.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Интернет полон как ценной информации, так и скрытых ловушек. Хотя просмотр кажется обыденным, один неосторожный клик на неправильном сайте может открыть дверь тактикам, вредоносным программам и...

Berolorladentra.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Один неосторожный клик может подвергнуть пользователей киберугрозам, тактикам или чему-то похуже. Злонамеренные субъекты постоянно совершенствуют свои тактики, чтобы обманывать, манипулировать и...

Наиболее просматриваемые

Загрузка...