Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér EDDIESTEALER

Škodlivý softvér EDDIESTEALER

Do roku Mezo v roku Malvér
Preložiť do:

Objavila sa nová malvérová kampaň, ktorá distribuuje pokročilý nástroj na krádež informácií založený na platforme Rust známy ako EDDIESTEALER. Útočníci využívajú šikovnú taktiku sociálneho inžinierstva s názvom ClickFix a lákajú používateľov prostredníctvom falošných overovacích stránok CAPTCHA na spustenie škodlivých skriptov. Po aktivácii EDDIESTEALER zhromažďuje citlivé údaje, ako sú prihlasovacie údaje, údaje prehliadača a podrobnosti o kryptomenových peňaženkách.

Reťazec infekcie: Od falošnej CAPTCHA k plnohodnotnému informačnému zlodejovi

Útok začína napadnutím legitímnych webových stránok škodlivým kódom JavaScript. Návštevníkom sa zobrazí falošná stránka CAPTCHA, ktorá ich vyzve, aby prostredníctvom trojkrokového procesu „dokázali, že nie sú robot“.
Proces zahŕňa:

  • Otvorenie dialógového okna Spustiť v systéme Windows.
  • Vloženie vopred skopírovaného príkazu.
  • Vykonávajú to, aby sa overili.

Tento zdanlivo neškodný akt spustí zahalený príkaz PowerShell, ktorý načíta dáta ďalšieho stupňa zo vzdialeného servera (llll[.]fit).

Nasadenie užitočného zaťaženia a nenápadné vykonávanie

Škodlivý JavaScript (gverify.js) sa uloží do priečinka Stiahnuté súbory obete a ticho sa spustí pomocou cscriptu. Úlohou tohto medziľahlého skriptu je načítať binárny súbor EDDIESTEALER z toho istého vzdialeného servera a uložiť ho s náhodným 12-miestnym názvom súboru do priečinka Stiahnuté súbory.

Malvér EDDIESTEALER dokáže:

  • Zhromažďovať systémové metadáta.
  • Prijímať pokyny zo servera velenia a riadenia (C2).
  • Z infikovaného systému odcudziť údaje vrátane údajov prehliadača, kryptomenových peňaženiek, správcov hesiel, FTP klientov a aplikácií na odosielanie správ.

Ciele je možné upraviť operátorom C2. Prístup k súborom sa spracováva pomocou štandardných funkcií kernel32.dll, ako sú CreateFileW, GetFileSizeEx, ReadFile a CloseHandle.

Funkcie exfiltrácie dát a antianalýzy

Po každej úlohe sú zozbierané údaje zašifrované a odoslané na server C2 prostredníctvom samostatných požiadaviek HTTP POST. Aby malvér zostal nenápadný, používa:

  • Šifrovanie reťazcov.
  • Vlastný vyhľadávací mechanizmus WinAPI na riešenie volaní API.
  • Mutex, ktorý zabezpečí spustenie iba jednej inštancie.
  • Kontroluje sandboxové prostredia a v prípade zistenia sa vymaže.

EDDIESTEALER sa dokonca dokáže sám odstrániť premenovaním alternatívnych dátových tokov NTFS, podobne ako malvér Latrodectus používa na obídenie zámkov súborov.

Využívanie Chromia pomocou ChromeKatz

Jednou z najznepokojujúcejších funkcií malvéru je jeho schopnosť obísť šifrovanie aplikácií v prehliadači Chromium. Integruje implementáciu ChromeKatz z verzie Rust, čo je nástroj s otvoreným zdrojovým kódom určený na ukladanie súborov cookie a prihlasovacích údajov z prehliadačov založených na prehliadači Chromium.

Ak cieľový prehliadač nie je spustený, EDDIESTEALER spustí skrytú inštanciu prehliadača pomocou príkazu „--window-position=-3000,-3000 https://google.com“. To mu umožní prístup k pamäti spojenej s podradeným procesom „-utility-sub-type=network.mojom.NetworkService“ a nakoniec extrahuje prihlasovacie údaje.

Rozšírené možnosti v aktualizovaných variantoch

Najnovšie verzie EDDIESTEALER dokážu tiež zhromažďovať:

  • Spustené procesy.
  • Detaily grafického procesora.
  • Počet jadier CPU, názov CPU a dodávateľ.
  • Systémové informácie (odoslané na server ešte pred konfiguráciou úlohy).

Šifrovací kľúč používaný na komunikáciu medzi klientom a serverom je navyše pevne zakódovaný v binárnom súbore, čo zvyšuje prevádzkovú bezpečnosť. Útočník môže tiež spustiť nový proces prehliadača Chrome s parametrom „--remote-debugging-port=", aby umožnil bezhlavé interakcie prehliadača cez protokol DevTools bez nutnosti interakcie s používateľom.

Multiplatformová kampaň ClickFix

Použitie jazyka Rust pre EDDIESTEALER zdôrazňuje rastúci trend medzi vývojármi malvéru, ktorí využívajú moderné jazykové prvky pre nenápadnosť, stabilitu a vyhýbanie sa odhaleniu.

Táto kampaň je súčasťou širšieho úsilia útočníkov o využitie taktiky ClickFix na viacerých platformách. Výskumníci z c/side zaznamenali podobné útoky zamerané na macOS, Android a iOS. V systéme macOS škodlivý kód JavaScript presmeruje obete na stránku, ktorá ich inštruuje, aby spustili skript terminálového shellu a nasadili škodlivý kód Atomic macOS Stealer (AMOS).

Pre návštevníkov so systémom Android, iOS a Windows systém sťahovania cez drive-by nasadzuje samostatný trójsky kôň, vďaka čomu je to veľmi všestranná a multiplatformová hrozba.

Záver

Kampaň EDDIESTEALER demonštruje účinnosť sociálneho inžinierstva v kombinácii so sofistikovaným vývojom malvéru. Jej pokročilé jadro založené na platforme Rust, multiplatformová prispôsobivosť a schopnosť obísť ochranu prehliadača zdôrazňujú rastúcu potrebu, aby organizácie a jednotlivci zostali ostražití a proaktívni v oblasti kybernetickej bezpečnosti.

Trendy

Najviac videné

Načítava...