Rabattoffert för flera licenser
Hotdatabas Skadlig programvara EDDIESTEALER Skadlig kod

EDDIESTEALER Skadlig kod

Med Mezo år Skadlig programvara
Översätt till:

En ny kampanj med skadlig kod har dykt upp och distribuerar en avancerad Rust-baserad informationsstöld som kallas EDDIESTEALER. Genom att utnyttja en smart social engineering-taktik som kallas ClickFix lockar angripare användare genom falska CAPTCHA-verifieringssidor för att köra skadliga skript. När EDDIESTEALER är aktiv samlar den in känsliga uppgifter som inloggningsuppgifter, webbläsardata och information om kryptovalutaplånböcker.

Infektionskedja: Från falsk CAPTCHA till fullskalig informationsstöld

Attacken börjar med att legitima webbplatser komprometteras med skadliga JavaScript-nyttolast. Besökare visas en falsk CAPTCHA-sida som uppmanar dem att "bevisa att de inte är en robot" via en trestegsprocess.
Processen innebär:

  • Öppnar Windows Kör-dialogruta.
  • Klistra in ett förkopierat kommando.
  • Kör det för att verifiera sig själva.

Denna till synes oskyldiga handling utlöser ett obfuskerat PowerShell-kommando som hämtar en nyttolast i nästa steg från en fjärrserver (llll[.]fit).

Nyttolastdistribution och smygande exekvering

Det skadliga JavaScript-skriptet (gverify.js) sparas i offrets mapp för nedladdningar och körs tyst med hjälp av cscript. Detta mellanliggande skripts roll är att hämta EDDIESTEALER-binärfilen från samma fjärrserver och spara den med ett slumpmässigt 12-tecken långt filnamn i mappen för nedladdningar.

Skadlig programvara EDDIESTEALER kan:

  • Samla in systemmetadata.
  • Ta emot instruktioner från en kommando- och kontrollserver (C2).
  • Exfiltrera data från det infekterade systemet, inklusive webbläsardata, kryptovalutaplånböcker, lösenordshanterare, FTP-klienter och meddelandeappar.

Mål kan justeras av C2-operatorn. Filåtkomst hanteras med standardfunktioner i kernel32.dll som CreateFileW, GetFileSizeEx, ReadFile och CloseHandle.

Dataexfiltrering och antianalysfunktioner

Efter varje uppgift krypteras den insamlade datan och skickas till C2-servern via separata HTTP POST-förfrågningar. För att hålla sig under radarn använder den skadliga programvaran:

  • Strängkryptering.
  • En anpassad WinAPI-sökningsmekanism för att lösa API-anrop.
  • En mutex för att säkerställa att endast en instans körs.
  • Söker efter sandlådemiljöer och raderar sig själv om den upptäcks.

EDDIESTEALER kan till och med radera sig själv genom att byta namn på NTFS Alternate Data Streams, liknande tekniker som används av Latrodectus-skadlig programvara, för att kringgå fillås.

Chromium-utnyttjande med ChromeKatz

En av de mest oroande funktionerna i den skadliga programvaran är dess förmåga att kringgå Chromiums appbundna kryptering. Den integrerar en Rust-implementering av ChromeKatz, ett verktyg med öppen källkod som är utformat för att dumpa cookies och inloggningsuppgifter från Chromium-baserade webbläsare.

Om den riktade webbläsaren inte körs, startar EDDIESTEALER en dold webbläsarinstans med hjälp av kommandot '--window-position=-3000,-3000 https://google.com'. Detta gör det möjligt för den att komma åt minne som är associerat med underprocessen '-utility-sub-type=network.mojom. NetworkService', och extraherar slutligen autentiseringsuppgifter.

Utökade funktioner i uppdaterade varianter

Nyare versioner av EDDIESTEALER kan också samla in:

  • Körande processer.
  • GPU-detaljer.
  • Antal CPU-kärnor, CPU-namn och leverantör.
  • Systeminformation (skickas till servern redan före uppgiftskonfiguration).

Dessutom är krypteringsnyckeln som används för klient-till-server-kommunikation hårdkodad i binärfilen, vilket förbättrar driftssäkerheten. Stjälen kan också starta en ny Chrome-process med '--remote-debugging-port=' för att möjliggöra headless webbläsarinteraktioner över DevTools-protokollet, utan att någon användarinteraktion krävs.

Plattformsoberoende ClickFix-kampanj

Användningen av Rust för EDDIESTEALER belyser en växande trend bland utvecklare av skadlig kod, som utnyttjar moderna språkfunktioner för smygande, stabilitet och undvikande av upptäckt.

Denna kampanj är en del av en bredare insats från angripare för att utnyttja ClickFix-taktiker på flera plattformar. Forskare på c/side har observerat liknande attacker riktade mot macOS, Android och iOS. För macOS omdirigerar det skadliga JavaScript-koden till en sida som instruerar offren att köra ett Terminal-shellskript, vilket distribuerar Atomic macOS Stealer (AMOS).

För Android-, iOS- och Windows-besökare distribuerar ett drive-by-nedladdningsschema en separat trojansk skadlig kod, vilket gör detta till ett mycket mångsidigt och plattformsoberoende hot.

Slutsats

Kampanjen EDDIESTEALER visar effektiviteten hos social ingenjörskonst i kombination med sofistikerad utveckling av skadlig kod. Dess avancerade Rust-baserade kärna, plattformsoberoende anpassningsförmåga och förmåga att kringgå webbläsarskydd belyser det växande behovet för organisationer och individer att förbli vaksamma och proaktiva i sin cybersäkerhetsposition.

Trendigt

Mest sedda

Läser in...