Zlonamerna programska oprema EDDIESTEALER

Do leta Mezo leta Zlonamerna programska oprema

Prevedi v:

Pojavila se je nova kampanja zlonamerne programske opreme, ki distribuira napredni program za krajo informacij, ki temelji na Rustu, znan kot EDDIESTEALER. Napadalci z uporabo pametne taktike socialnega inženiringa, imenovane ClickFix, zvabijo uporabnike prek lažnih strani za preverjanje CAPTCHA, da izvedejo zlonamerne skripte. Ko je EDDIESTEALER aktiven, zbira občutljive podatke, kot so poverilnice, podatki brskalnika in podrobnosti o denarnici s kriptovalutami.

Kazalo

Veriga okužbe: od lažne CAPTCHA do popolnega kradljivca informacij

Napad se začne z zlonamernimi JavaScript koristnimi kodami na legitimna spletna mesta. Obiskovalcem se prikaže lažna stran CAPTCHA, ki jih s tristopenjskim postopkom pozove, naj »dokažejo, da niso robot«.
Postopek vključuje:

Odpiranje pogovornega okna Zaženi v sistemu Windows.
Lepljenje vnaprej kopiranega ukaza.
Izvajajo ga, da se preverijo.

To na videz neškodljivo dejanje sproži zakriti ukaz PowerShell, ki z oddaljenega strežnika pridobi koristni tovor naslednje stopnje (llll[.]fit).

Uvajanje koristnega tovora in prikrito izvajanje

Zlonamerni JavaScript (gverify.js) se shrani v mapo »Prenosi« žrtve in se tiho izvede z uporabo skripta cscript. Vloga tega vmesnega skripta je pridobiti binarno datoteko EDDIESTEALER z istega oddaljenega strežnika in jo shraniti z naključnim 12-mestnim imenom datoteke v mapo »Prenosi«.

Zlonamerna programska oprema EDDIESTEALER je sposobna:

Zbiranje sistemskih metapodatkov.
Prejemajte navodila s strežnika za upravljanje in nadzor (C2).
Iz okuženega sistema izvlecite podatke, vključno s podatki brskalnika, denarnicami za kriptovalute, upravitelji gesel, odjemalci FTP in aplikacijami za sporočanje.

Cilje lahko prilagodi operator C2. Dostop do datotek se izvaja s standardnimi funkcijami kernel32.dll, kot so CreateFileW, GetFileSizeEx, ReadFile in CloseHandle.

Funkcije za izkopavanje podatkov in preprečevanje analize

Po vsaki nalogi se zbrani podatki šifrirajo in pošljejo na strežnik C2 prek ločenih zahtev HTTP POST. Da bi ostala neopažena, zlonamerna programska oprema uporablja:

Šifriranje nizov.
Prilagojen mehanizem iskanja WinAPI za razreševanje klicev API.

Mutex, ki zagotavlja, da se izvaja samo en primerek.

Preveri, ali obstajajo peskovna okolja, in se izbriše, če jih zazna.

EDDIESTEALER se lahko celo izbriše s preimenovanjem alternativnih podatkovnih tokov NTFS, podobno tehnikam, ki jih uporablja zlonamerna programska oprema Latrodectus, za obhod zaklepanja datotek.

Izkoriščanje Chromiuma s ChromeKatzom

Ena najbolj zaskrbljujočih lastnosti zlonamerne programske opreme je njena sposobnost, da zaobide šifriranje, vezano na aplikacije v Chromiumu. Integrira Rust-ovo implementacijo ChromeKatz, odprtokodnega orodja, zasnovanega za shranjevanje piškotkov in poverilnic iz brskalnikov, ki temeljijo na Chromiumu.

Če ciljni brskalnik ne deluje, EDDIESTEALER zažene skriti primerek brskalnika z ukazom '--window-position=-3000,-3000 https://google.com'. To mu omogoča dostop do pomnilnika, povezanega s podrejenim procesom '-utility-sub-type=network.mojom.NetworkService', in na koncu pridobi poverilnice.

Razširjene zmogljivosti v posodobljenih različicah

Novejše različice programa EDDIESTEALER lahko zbirajo tudi:

Izvajanje procesov.
Podrobnosti o grafičnem procesorju.
Število jeder procesorja, ime procesorja in prodajalec.
Sistemske informacije (poslane strežniku še pred konfiguracijo naloge).

Poleg tega je šifrirni ključ, ki se uporablja za komunikacijo med odjemalcem in strežnikom, trdo kodiran v binarno datoteko, kar izboljša varnost delovanja. Zloraba lahko zažene tudi nov proces v Chromu z '--remote-debugging-port=', da omogoči interakcije brskalnika brez glave prek protokola DevTools, brez potrebe po interakciji uporabnika.

Medplatformska kampanja ClickFix

Uporaba Rusta za EDDIESTEALER poudarja naraščajoč trend med razvijalci zlonamerne programske opreme, ki izkoriščajo sodobne jezikovne funkcije za prikritost, stabilnost in izogibanje odkrivanju.

Ta kampanja je del širšega prizadevanja napadalcev, da bi izkoristili taktiko ClickFix na več platformah. Raziskovalci pri c/side so opazili podobne napade, usmerjene v macOS, Android in iOS. V sistemu macOS zlonamerni JavaScript preusmeri žrtve na stran, ki jim naroči, naj zaženejo skript terminalske lupine in namestijo Atomic macOS Stealer (AMOS).

Za obiskovalce Androida, iOS-a in Windows shema prenosa namešča ločeno trojansko zlonamerno programsko opremo, zaradi česar je to zelo vsestranska in večplatformska grožnja.

Zaključek

Kampanja EDDIESTEALER dokazuje učinkovitost socialnega inženiringa v kombinaciji s sofisticiranim razvojem zlonamerne programske opreme. Njeno napredno jedro, ki temelji na tehnologiji Rust, prilagodljivost med platformami in sposobnost obhoda zaščit brskalnikov poudarjajo vse večjo potrebo organizacij in posameznikov, da ostanejo budni in proaktivni pri svojem delovanju na področju kibernetske varnosti.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Zlonamerna programska oprema EDDIESTEALER

Veriga okužbe: od lažne CAPTCHA do popolnega kradljivca informacij

Uvajanje koristnega tovora in prikrito izvajanje

Funkcije za izkopavanje podatkov in preprečevanje analize

Izkoriščanje Chromiuma s ChromeKatzom

Razširjene zmogljivosti v posodobljenih različicah

Medplatformska kampanja ClickFix

Zaključek

Pošlji komentar

V trendu

Perwousesoc.com

Berolorladentra.co.in

Prevara z nagradami za glasovanje pri HyperLend

Najbolj gledan

Kaj je 'msedgewebview2.exe'?

Zlonamerna programska oprema

E-poštna prevara 'Geek Squad'