బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ మాల్వేర్ EDDIESTEALER మాల్వేర్

EDDIESTEALER మాల్వేర్

మాల్వేర్లో Mezo నాటికి
దీనికి అనువదించండి:

EDDIESTEALER అని పిలువబడే అధునాతన రస్ట్-ఆధారిత సమాచార దొంగను పంపిణీ చేసే కొత్త మాల్వేర్ ప్రచారం ఉద్భవించింది. ClickFix అనే తెలివైన సోషల్ ఇంజనీరింగ్ వ్యూహాన్ని ఉపయోగించి, దాడి చేసేవారు నకిలీ CAPTCHA ధృవీకరణ పేజీల ద్వారా వినియోగదారులను ఆకర్షించి హానికరమైన స్క్రిప్ట్‌లను అమలు చేస్తారు. ఒకసారి యాక్టివ్ అయిన తర్వాత, EDDIESTEALER ఆధారాలు, బ్రౌజర్ డేటా మరియు క్రిప్టోకరెన్సీ వాలెట్ వివరాల వంటి సున్నితమైన డేటాను సేకరిస్తుంది.

ఇన్ఫెక్షన్ చైన్: నకిలీ CAPTCHA నుండి పూర్తి స్థాయి ఇన్ఫోస్టీలర్ వరకు

ఈ దాడి చట్టబద్ధమైన వెబ్‌సైట్‌లను హానికరమైన జావాస్క్రిప్ట్ పేలోడ్‌లతో రాజీ చేయడంతో ప్రారంభమవుతుంది. సందర్శకులకు మూడు దశల ప్రక్రియ ద్వారా "మీరు రోబోట్ కాదని నిరూపించమని" ప్రాంప్ట్ చేసే నకిలీ CAPTCHA పేజీ చూపబడుతుంది.
ఈ ప్రక్రియలో ఇవి ఉంటాయి:

  • విండోస్ రన్ డైలాగ్‌ను తెరుస్తోంది.
  • ముందే కాపీ చేసిన ఆదేశాన్ని అతికించడం.
  • తమను తాము ధృవీకరించుకోవడానికి దీన్ని అమలు చేస్తున్నారు.

ఈ హానికరం కాని చర్య రిమోట్ సర్వర్ (llll[.]fit) నుండి తదుపరి దశ పేలోడ్‌ను పొందే అస్పష్టమైన పవర్‌షెల్ కమాండ్‌ను ప్రేరేపిస్తుంది.

పేలోడ్ విస్తరణ మరియు రహస్య అమలు

హానికరమైన జావాస్క్రిప్ట్ (gverify.js) బాధితుడి డౌన్‌లోడ్‌ల ఫోల్డర్‌లో సేవ్ చేయబడుతుంది మరియు cscript ఉపయోగించి నిశ్శబ్దంగా అమలు చేయబడుతుంది. ఈ ఇంటర్మీడియట్ స్క్రిప్ట్ పాత్ర అదే రిమోట్ సర్వర్ నుండి EDDIESTEALER బైనరీని తిరిగి పొందడం, డౌన్‌లోడ్‌ల ఫోల్డర్‌లో యాదృచ్ఛికంగా 12-అక్షరాల ఫైల్ పేరుతో దానిని సేవ్ చేయడం.

EDDIESTEALER మాల్వేర్ వీటిని చేయగలదు:

  • సిస్టమ్ మెటాడేటాను సేకరించండి.
  • కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి సూచనలను స్వీకరించండి.
  • బ్రౌజర్ డేటా, క్రిప్టోకరెన్సీ వాలెట్లు, పాస్‌వర్డ్ మేనేజర్‌లు, FTP క్లయింట్‌లు మరియు మెసేజింగ్ యాప్‌లతో సహా ఇన్‌ఫెక్ట్ చేయబడిన సిస్టమ్ నుండి డేటాను ఎక్స్‌ఫిల్ట్రేట్ చేయండి.

లక్ష్యాలను C2 ఆపరేటర్ సర్దుబాటు చేయవచ్చు. ఫైల్ యాక్సెస్ CreateFileW, GetFileSizeEx, ReadFile మరియు CloseHandle వంటి ప్రామాణిక kernel32.dll ఫంక్షన్‌లను ఉపయోగించి నిర్వహించబడుతుంది.

డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు యాంటీ-అనాలిసిస్ ఫీచర్‌లు

ప్రతి పని తర్వాత, సేకరించిన డేటా ఎన్‌క్రిప్ట్ చేయబడి, ప్రత్యేక HTTP POST అభ్యర్థనల ద్వారా C2 సర్వర్‌కు పంపబడుతుంది. రాడార్ కింద ఉండటానికి, మాల్వేర్ వీటిని ఉపయోగిస్తుంది:

  • స్ట్రింగ్ ఎన్క్రిప్షన్.
  • API కాల్‌లను పరిష్కరించడానికి కస్టమ్ WinAPI లుకప్ మెకానిజం.
  • ఒకే ఒక్క సందర్భం మాత్రమే అమలు అయ్యేలా చూసుకోవడానికి ఒక మ్యూటెక్స్.
  • శాండ్‌బాక్స్డ్ ఎన్విరాన్‌మెంట్‌ల కోసం తనిఖీలు, గుర్తించినట్లయితే అది స్వయంగా తొలగించబడుతుంది.

    • ఫైల్ లాక్‌లను దాటవేయడానికి లాట్రోడెక్టస్ మాల్వేర్ ఉపయోగించే పద్ధతుల మాదిరిగానే, NTFS ఆల్టర్నేట్ డేటా స్ట్రీమ్‌ల పేరు మార్చడం ద్వారా EDDIESTEALER కూడా తనను తాను తొలగించుకోగలదు.

    ChromeKatz తో క్రోమియం దోపిడీ

    ఈ మాల్వేర్ యొక్క అత్యంత ఆందోళనకరమైన లక్షణాలలో ఒకటి Chromium యొక్క యాప్-బౌండ్ ఎన్‌క్రిప్షన్‌ను దాటవేయగల సామర్థ్యం. ఇది Chromium-ఆధారిత బ్రౌజర్‌ల నుండి కుక్కీలు మరియు ఆధారాలను డంప్ చేయడానికి రూపొందించబడిన ఓపెన్-సోర్స్ సాధనం ChromeKatz యొక్క రస్ట్ అమలును అనుసంధానిస్తుంది.

    లక్ష్యంగా చేసుకున్న బ్రౌజర్ అమలులో లేకపోతే, EDDIESTEALER '--window-position=-3000,-3000 https://google.com కమాండ్' ఉపయోగించి దాచిన బ్రౌజర్ ఉదాహరణను ప్రారంభిస్తుంది. ఇది '-utility-sub-type=network.mojom. NetworkService' చైల్డ్ ప్రాసెస్‌తో అనుబంధించబడిన మెమరీని యాక్సెస్ చేయడానికి, చివరికి ఆధారాలను సంగ్రహించడానికి అనుమతిస్తుంది.

    నవీకరించబడిన వేరియంట్లలో విస్తరించిన సామర్థ్యాలు

    EDDIESTEALER యొక్క ఇటీవలి వెర్షన్‌లు కూడా వీటిని సేకరించవచ్చు:

    • నడుస్తున్న ప్రక్రియలు.
    • GPU వివరాలు.
    • CPU కోర్ల సంఖ్య, CPU పేరు మరియు విక్రేత.
    • సిస్టమ్ సమాచారం (టాస్క్ కాన్ఫిగరేషన్‌కు ముందే సర్వర్‌కు పంపబడుతుంది).

    అదనంగా, క్లయింట్-టు-సర్వర్ కమ్యూనికేషన్ కోసం ఉపయోగించే ఎన్‌క్రిప్షన్ కీ బైనరీలో హార్డ్-కోడ్ చేయబడి, కార్యాచరణ భద్రతను మెరుగుపరుస్తుంది. స్టీలర్ DevTools ప్రోటోకాల్ ద్వారా హెడ్‌లెస్ బ్రౌజర్ పరస్పర చర్యలను ప్రారంభించడానికి '--remote-debugging-port=' తో కొత్త Chrome ప్రక్రియను కూడా ప్రారంభించవచ్చు, వినియోగదారు పరస్పర చర్య అవసరం లేదు.

    క్రాస్-ప్లాట్‌ఫామ్ క్లిక్‌ఫిక్స్ ప్రచారం

    EDDIESTEALER కోసం Rust వాడకం మాల్వేర్ డెవలపర్‌లలో పెరుగుతున్న ధోరణిని హైలైట్ చేస్తుంది, స్టీల్త్, స్థిరత్వం మరియు గుర్తింపును తప్పించుకోవడం కోసం ఆధునిక భాషా లక్షణాలను ఉపయోగిస్తుంది.

    ఈ ప్రచారం బహుళ ప్లాట్‌ఫామ్‌లలో క్లిక్‌ఫిక్స్ వ్యూహాలను ఉపయోగించుకోవడానికి దాడి చేసేవారు చేసే విస్తృత ప్రయత్నంలో భాగం. c/side పరిశోధకులు macOS, Android మరియు iOS లను లక్ష్యంగా చేసుకుని ఇలాంటి దాడులను గమనించారు. macOS కోసం, హానికరమైన జావాస్క్రిప్ట్ బాధితులకు టెర్మినల్ షెల్ స్క్రిప్ట్‌ను అమలు చేయమని సూచించే పేజీకి దారి మళ్లిస్తుంది, అటామిక్ macOS స్టీలర్ (AMOS)ను అమలు చేస్తుంది.

    ఆండ్రాయిడ్, iOS మరియు విండోస్ సందర్శకుల కోసం, డ్రైవ్-బై డౌన్‌లోడ్ స్కీమ్ ప్రత్యేక ట్రోజన్ మాల్వేర్‌ను అమలు చేస్తుంది, ఇది చాలా బహుముఖ మరియు క్రాస్-ప్లాట్‌ఫారమ్ ముప్పుగా మారుతుంది.

    ముగింపు

    EDDIESTEALER ప్రచారం అధునాతన మాల్వేర్ అభివృద్ధితో కలిపి సోషల్ ఇంజనీరింగ్ ప్రభావాన్ని ప్రదర్శిస్తుంది. దీని అధునాతన రస్ట్-ఆధారిత కోర్, క్రాస్-ప్లాట్‌ఫామ్ అనుకూలత మరియు బ్రౌజర్ రక్షణలను దాటవేయగల సామర్థ్యం సంస్థలు మరియు వ్యక్తులు తమ సైబర్ భద్రతా స్థితిలో అప్రమత్తంగా మరియు చురుగ్గా ఉండవలసిన పెరుగుతున్న అవసరాన్ని హైలైట్ చేస్తాయి.

    ట్రెండింగ్‌లో ఉంది

    Perwousesoc.com

    రోగ్ వెబ్‌సైట్‌లు, యాడ్వేర్, బ్రౌజర్ హైజాకర్లు
    ఇంటర్నెట్ విలువైన సమాచారం మరియు దాచిన ఉచ్చులతో నిండి ఉంది. బ్రౌజింగ్ నిత్యకృత్యంగా అనిపించినప్పటికీ, తప్పు సైట్‌పై ఒక అజాగ్రత్త క్లిక్ వ్యూహాలు, మాల్వేర్ మరియు గోప్యతా ఉల్లంఘనలకు తలుపులు...

    Berolorladentra.co.in

    రోగ్ వెబ్‌సైట్‌లు, యాడ్వేర్, బ్రౌజర్ హైజాకర్లు
    ఒక్క అజాగ్రత్త క్లిక్ వినియోగదారులను సైబర్ బెదిరింపులకు, వ్యూహాలకు లేదా అంతకంటే దారుణమైన వాటికి గురిచేయవచ్చు. దుష్ట మనసున్న వ్యక్తులు అనుమానం లేని బాధితులను మోసం చేయడానికి, మార్చటానికి మరియు లాభం...

    హైపర్ లెండ్ ఓటు రివార్డ్స్ స్కామ్

    రోగ్ వెబ్‌సైట్‌లు
    ఇంటర్నెట్ విస్తారమైన అవకాశాలను అందిస్తుంది, కానీ అధునాతన బెదిరింపులను కూడా కలిగి ఉంది. నకిలీ ప్రమోషన్ల నుండి క్రిప్టో డ్రైనర్ల వరకు, సైబర్ నేరస్థులు అనుమానం లేని వినియోగదారులను వారి ఆస్తులకు...

    అత్యంత వీక్షించబడిన

    మాల్వేర్

    ఫిషింగ్, స్పామ్
    34,096
    'Apple Pay సస్పెండ్ చేయబడింది' స్కామ్ సందేశం Apple Pay వినియోగదారులను లక్ష్యంగా చేసుకునే ఒక రకమైన ఫిషింగ్ వ్యూహం. యూజర్ యొక్క Apple Pay వాలెట్ తాత్కాలికంగా నిలిపివేయబడిందని మరియు దానిని పునరుద్ధరించడానికి లింక్‌ను క్లిక్ చేయమని సందేశం పేర్కొంది. అయితే, లింక్‌పై క్లిక్ చేయడం ద్వారా వినియోగదారు వారి వ్యక్తిగత మరియు ఆర్థిక సమాచారాన్ని దొంగిలించడానికి రూపొందించబడిన నకిలీ వెబ్‌సైట్‌కి...
    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్ స్క్రీన్ షాట్

    'గీక్ స్క్వాడ్' ఇమెయిల్ స్కామ్

    ఫిషింగ్, స్పామ్
    31,957
    గీక్ స్క్వాడ్, ప్రముఖ టెక్ సపోర్ట్ ప్రొవైడర్, గీక్ స్క్వాడ్ ఇమెయిల్ స్కామ్ అనే ఫిషింగ్ స్కామ్‌కు బాధితురాలిగా మారింది. ఈ టెక్ సపోర్ట్ స్కామ్ నకిలీ ఇమెయిల్‌లను ఉపయోగిస్తుంది, ఇది క్రెడిట్ కార్డ్...

    'మీ ఐఫోన్ హ్యాక్ చేయబడింది' పాప్-అప్‌లు

    యాడ్వేర్
    23,755
    మన దైనందిన జీవితంలో సాంకేతికత ఎక్కువగా కలిసిపోయినందున, సైబర్ నేరస్థులు తమ హానికరమైన ఉద్దేశ్యంతో దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి కొత్త మార్గాలను కనుగొంటున్నారు. ఐఫోన్ వినియోగదారులు తెలుసుకోవలసిన...
    లోడ్...