Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware EDDIESTEALER Malware

EDDIESTEALER Malware

Nga MezoMalware
Përkthe në:

Një fushatë e re keqdashëse është shfaqur, duke shpërndarë një program të avancuar vjedhës informacioni të bazuar në Rust, të njohur si EDDIESTEALER. Duke përdorur një taktikë të zgjuar të inxhinierisë sociale të quajtur ClickFix, sulmuesit i joshin përdoruesit përmes faqeve të rreme të verifikimit CAPTCHA për të ekzekutuar skripte keqdashëse. Pasi të jetë aktiv, EDDIESTEALER mbledh të dhëna të ndjeshme siç janë kredencialet, të dhënat e shfletuesit dhe detajet e portofolit të kriptomonedhave.

Zinxhiri i Infeksionit: Nga CAPTCHA e Rreme në Vjedhës të Plotë Informacioni

Sulmi fillon me faqet e internetit legjitime që kompromentohen me ngarkesa të dëmshme JavaScript. Vizitorëve u shfaqet një faqe e rreme CAPTCHA që i nxit ata të "vërtetojnë se nuk janë robot" përmes një procesi me tre hapa.
Procesi përfshin:

  • Hapja e kutisë së dialogut Run të Windows.
  • Duke ngjitur një komandë të parakopjuar.
  • Duke e ekzekutuar atë për të verifikuar veten.

Ky veprim në dukje i padëmshëm shkakton një komandë të paqartë PowerShell që merr një ngarkesë të fazës tjetër nga një server i largët (llll[.]fit).

Vendosja e ngarkesës dhe ekzekutimi i fshehtë

JavaScript-i keqdashës (gverify.js) ruhet në dosjen Downloads të viktimës dhe ekzekutohet në heshtje duke përdorur cscript. Roli i këtij skripti të ndërmjetëm është të rikuperojë skedarin binar EDDIESTEALER nga i njëjti server i largët, duke e ruajtur atë me një emër skedari të rastësishëm me 12 karaktere në dosjen Downloads.

Malware-i EDDIESTEALER është i aftë të:

  • Mbledh meta të dhënat e sistemit.
  • Merrni udhëzime nga një server Komandë-dhe-Kontroll (C2).
  • Nxjerr të dhëna nga sistemi i infektuar, duke përfshirë të dhënat e shfletuesit, portofolet e kriptomonedhave, menaxherët e fjalëkalimeve, klientët FTP dhe aplikacionet e mesazheve.

Objektivat mund të rregullohen nga operatori C2. Qasja në skedarë trajtohet duke përdorur funksionet standarde kernel32.dll si CreateFileW, GetFileSizeEx, ReadFile dhe CloseHandle.

Karakteristikat e nxjerrjes së të dhënave dhe anti-analizës

Pas çdo detyre, të dhënat e mbledhura enkriptohen dhe dërgohen në serverin C2 nëpërmjet kërkesave të veçanta HTTP POST. Për të qëndruar nën radar, programi keqdashës përdor:

  • Enkriptimi i vargut.
  • Një mekanizëm i personalizuar kërkimi WinAPI për të zgjidhur thirrjet API.
  • Një mutex për të siguruar që vetëm një instancë të ekzekutohet.
  • Kontrollon për mjedise të sandboxuara, duke fshirë veten nëse zbulohet.

    • EDDIESTEALER mund të fshijë veten edhe duke riemëruar NTFS Alternate Data Streams, ngjashëm me teknikat e përdorura nga malware Latrodectus, për të anashkaluar bllokimet e skedarëve.

    Shfrytëzimi i Chromium me ChromeKatz

    Një nga karakteristikat më shqetësuese të malware-it është aftësia e tij për të anashkaluar enkriptimin e aplikacioneve të Chromium. Ai integron një implementim Rust të ChromeKatz, një mjet me burim të hapur i projektuar për të hequr cookie-t dhe kredencialet nga shfletuesit e bazuar në Chromium.

    Nëse shfletuesi i synuar nuk është duke u ekzekutuar, EDDIESTEALER nis një instancë të fshehur të shfletuesit duke përdorur komandën '--window-position=-3000,-3000 https://google.com'. Kjo i lejon atij të hyjë në memorien e lidhur me procesin fëmijë '-utility-sub-type=network.mojom.NetworkService', duke nxjerrë në fund kredencialet.

    Aftësi të zgjeruara në variante të përditësuara

    Versionet e fundit të EDDIESTEALER mund të mbledhin gjithashtu:

    • Proceset në ekzekutim.
    • Detajet e GPU-së.
    • Numri i bërthamave të CPU-së, emri i CPU-së dhe shitësi.
    • Informacioni i sistemit (i dërguar serverit edhe para konfigurimit të detyrës).

    Për më tepër, çelësi i enkriptimit i përdorur për komunikimin klient-server është i koduar në skedarin binar, duke rritur sigurinë operative. Vjedhësi gjithashtu mund të nisë një proces të ri Chrome me '--remote-debugging-port=' për të aktivizuar ndërveprimet pa kokë të shfletuesit mbi Protokollin DevTools, pa kërkuar ndërveprim nga përdoruesi.

    Fushata ClickFix Ndërplatformë

    Përdorimi i Rust për EDDIESTEALER nxjerr në pah një trend në rritje midis zhvilluesve të programeve keqdashëse, të cilët shfrytëzojnë veçoritë moderne të gjuhës për fshehtësi, stabilitet dhe shmangie të zbulimit.

    Kjo fushatë është pjesë e një përpjekjeje më të gjerë nga sulmuesit për të përdorur taktikat ClickFix në platforma të shumta. Studiuesit në c/side kanë vëzhguar sulme të ngjashme që synojnë macOS, Android dhe iOS. Për macOS, JavaScript-i keqdashës ridrejton në një faqe që udhëzon viktimat të ekzekutojnë një skript të shell-it të Terminalit, duke vendosur Atomic macOS Stealer (AMOS).

    Për vizitorët e Android, iOS dhe Windows, një skemë shkarkimi nga makina përdor një program keqdashës Trojan të veçantë, duke e bërë këtë një kërcënim shumë të gjithanshëm dhe ndërplatformor.

    Përfundim

    Fushata EDDIESTEALER demonstron efektivitetin e inxhinierisë sociale të kombinuar me zhvillimin e sofistikuar të programeve keqdashëse. Bërthama e saj e përparuar e bazuar në Rust, përshtatshmëria ndërplatformore dhe aftësia për të anashkaluar mbrojtjet e shfletuesit nxjerrin në pah nevojën në rritje që organizatat dhe individët të qëndrojnë vigjilentë dhe proaktivë në qëndrimin e tyre të sigurisë kibernetike.

    Në trend

    Më e shikuara

    Po ngarkohet...