Попуст за више лиценци
Тхреат Датабасе Малваре EDDIESTEALER Злонамерни софтвер

EDDIESTEALER Злонамерни софтвер

До Mezo. у Малваре
Преведи на:

Појавила се нова кампања злонамерног софтвера, дистрибуирајући напредни крађа информација заснован на Rust-у познат као EDDIESTEALER. Користећи паметну тактику социјалног инжењеринга под називом ClickFix, нападачи намамљују кориснике путем лажних CAPTCHA страница за верификацију како би извршили злонамерне скрипте. Једном активан, EDDIESTEALER прикупља осетљиве податке као што су акредитиви, подаци прегледача и детаљи о криптовалутним новчаницима.

Ланац инфекције: Од лажне CAPTCHA до правог крадљивца информација

Напад почиње тако што се легитимне веб странице компромитују злонамерним JavaScript кодом. Посетиоцима се приказује лажна CAPTCHA страница која их тражи да „докажу да нисте робот“ путем процеса од три корака.
Процес укључује:

  • Отварање дијалога „Покрени“ у систему Windows.
  • Лепљење претходно копиране команде.
  • Извршавају га да би се потврдили.

Ова наизглед безопасна радња покреће замаскирану PowerShell команду која преузима корисни терет следеће фазе са удаљеног сервера (llll[.]fit).

Распоређивање корисног терета и прикривено извршавање

Злонамерни JavaScript (gverify.js) се чува у фолдеру „Преузимања“ жртве и тихо се извршава помоћу cscript-а. Улога овог посредничког скрипта је да преузме бинарну датотеку EDDIESTEALER са истог удаљеног сервера, чувајући је са насумичним именом датотеке од 12 карактера у фолдеру „Преузимања“.

Злонамерни софтвер EDDIESTEALER је способан за:

  • Прикупите системске метаподатке.
  • Примајте инструкције са сервера за командовање и контролу (C2).
  • Извуците податке из зараженог система, укључујући податке прегледача, криптовалуте новчанике, менаџере лозинки, FTP клијенте и апликације за размену порука.

Циљеве може подесити оператор C2. Приступ датотекама се обрађује помоћу стандардних функција kernel32.dll као што су CreateFileW, GetFileSizeEx, ReadFile и CloseHandle.

Функције за извлачење података и анти-анализу

Након сваког задатка, прикупљени подаци се шифрују и шаљу на C2 сервер путем одвојених HTTP POST захтева. Да би остао непримећен, злонамерни софтвер користи:

  • Шифровање низова.
  • Прилагођени механизам претраживања WinAPI-ја за решавање API позива.
  • Мутекс који осигурава да се покреће само једна инстанца.
  • Проверава заштићена окружења и брише се ако се открију.

EDDIESTEALER може чак и сам себе да избрише преименовањем NTFS алтернативних токова података, слично техникама које користи злонамерни софтвер Latrodectus, да би заобишао закључавање датотека.

Искоришћавање Chromium-а помоћу ChromeKatz-а

Једна од најзабрињавајућих карактеристика злонамерног софтвера је његова способност да заобиђе Chromium-ово шифровање везано за апликације. Он интегрише Rust имплементацију ChromeKatz-а, алата отвореног кода дизајнираног за избацивање колачића и акредитива из прегледача заснованих на Chromium-у.

Ако циљани прегледач није покренут, EDDIESTEALER покреће скривену инстанцу прегледача користећи команду „--window-position=-3000,-3000 https://google.com“. Ово му омогућава приступ меморији повезаној са подређеним процесом „-utility-sub-type=network.mojom.NetworkService“, што на крају издваја акредитиве.

Проширене могућности у ажурираним варијантама

Новије верзије EDDIESTEALER-а такође могу да прикупе:

  • Покретање процеса.
  • Детаљи о ГПУ-у.
  • Број језгара процесора, назив процесора и произвођач.
  • Системске информације (шаљу се серверу чак и пре конфигурације задатка).

Поред тога, кључ за шифровање који се користи за комуникацију између клијента и сервера је чврсто кодиран у бинарном коду, што побољшава оперативну безбедност. Крадец такође може да покрене нови Chrome процес са '--remote-debugging-port=' како би омогућио интеракције прегледача без задржавања података преко DevTools протокола, без потребе за интеракцијом корисника.

Крос-платформска ClickFix кампања

Употреба Rust-а за EDDIESTEALER истиче растући тренд међу програмерима злонамерног софтвера, користећи модерне језичке карактеристике за прикривеност, стабилност и избегавање откривања.

Ова кампања је део ширег напора нападача да искористе ClickFix тактику на више платформи. Истраживачи са c/side су приметили сличне нападе усмерене на macOS, Android и iOS. За macOS, злонамерни JavaScript преусмерава на страницу која налаже жртвама да покрену Terminal shell скрипту, примењујући Atomic macOS Stealer (AMOS).

За посетиоце Андроида, иОС-а и Виндоуса, шема преузимања путем драјв-бај система користи посебан тројански злонамерни софтвер, што га чини веома свестраном и вишеплатформском претњом.

Закључак

Кампања EDDIESTEALER демонстрира ефикасност друштвеног инжењеринга у комбинацији са софистицираним развојем злонамерног софтвера. Њено напредно језгро засновано на Rust-у, прилагодљивост различитим платформама и могућност заобилажења заштите прегледача истичу растућу потребу да организације и појединци остану будни и проактивни у свом ставу о сајбер безбедности.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
34,096
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...