ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ มัลแวร์ EDDIESTEALER

มัลแวร์ EDDIESTEALER

โดย Mezo ใน มัลแวร์
แปลเป็น:

แคมเปญมัลแวร์รูปแบบใหม่ได้เกิดขึ้น โดยแจกจ่ายโปรแกรมขโมยข้อมูลขั้นสูงที่ใช้ Rust ซึ่งรู้จักกันในชื่อ EDDIESTEALER โดยผู้โจมตีใช้กลวิธีทางวิศวกรรมสังคมอันชาญฉลาดที่เรียกว่า ClickFix เพื่อล่อผู้ใช้ผ่านหน้ายืนยัน CAPTCHA ปลอมเพื่อเรียกใช้สคริปต์ที่เป็นอันตราย เมื่อเปิดใช้งานแล้ว EDDIESTEALER จะรวบรวมข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรอง ข้อมูลเบราว์เซอร์ และรายละเอียดกระเป๋าเงินสกุลเงินดิจิทัล

ห่วงโซ่การติดเชื้อ: จาก CAPTCHA ปลอมสู่การขโมยข้อมูลแบบเต็มรูปแบบ

การโจมตีเริ่มต้นด้วยการที่เว็บไซต์ที่ถูกกฎหมายถูกบุกรุกด้วยเพย์โหลด JavaScript ที่เป็นอันตราย ผู้เยี่ยมชมจะเห็นหน้า CAPTCHA ปลอมพร้อมข้อความเตือนให้พวกเขา "พิสูจน์ว่าคุณไม่ใช่หุ่นยนต์" ผ่านกระบวนการสามขั้นตอน
กระบวนการนี้เกี่ยวข้องกับ:

  • เปิดกล่องโต้ตอบเรียกใช้ของ Windows
  • การวางคำสั่งที่คัดลอกไว้ล่วงหน้า
  • ดำเนินการเพื่อพิสูจน์ตนเอง

การกระทำที่ดูเหมือนไม่เป็นพิษเป็นภัยนี้จะกระตุ้นให้มีคำสั่ง PowerShell ที่คลุมเครือซึ่งดึงข้อมูลขั้นตอนถัดไปจากเซิร์ฟเวอร์ระยะไกล (llll[.]fit)

การปรับใช้เพย์โหลดและการดำเนินการอย่างลับๆ

JavaScript ที่เป็นอันตราย (gverify.js) จะถูกบันทึกไว้ในโฟลเดอร์ดาวน์โหลดของเหยื่อและดำเนินการอย่างเงียบ ๆ โดยใช้ cscript บทบาทของสคริปต์ตัวกลางนี้คือการดึงไบนารี EDDIESTEALER จากเซิร์ฟเวอร์ระยะไกลเดียวกันโดยบันทึกด้วยชื่อไฟล์ 12 อักขระแบบสุ่มในโฟลเดอร์ดาวน์โหลด

มัลแวร์ EDDIESTEALER มีความสามารถดังต่อไปนี้:

  • รวบรวมข้อมูลเมตาของระบบ
  • รับคำสั่งจากเซิร์ฟเวอร์ Command-and-Control (C2)
  • ดึงข้อมูลออกจากระบบที่ติดไวรัส รวมถึงข้อมูลเบราว์เซอร์ กระเป๋าเงินสกุลเงินดิจิทัล ตัวจัดการรหัสผ่าน ไคลเอนต์ FTP และแอปส่งข้อความ

ตัวดำเนินการ C2 สามารถปรับเป้าหมายได้ การเข้าถึงไฟล์จะดำเนินการโดยใช้ฟังก์ชันมาตรฐานของ kernel32.dll เช่น CreateFileW, GetFileSizeEx, ReadFile และ CloseHandle

คุณสมบัติการแยกข้อมูลและป้องกันการวิเคราะห์

หลังจากแต่ละงาน ข้อมูลที่รวบรวมจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์ C2 ผ่านคำขอ HTTP POST แยกต่างหาก เพื่อหลบเลี่ยงการตรวจจับ มัลแวร์จะใช้:

  • การเข้ารหัสสตริง
  • กลไกการค้นหา WinAPI แบบกำหนดเองเพื่อแก้ไขการเรียก API
  • มิวเท็กซ์เพื่อให้แน่ใจว่ามีการเรียกใช้อินสแตนซ์เดียวเท่านั้น
  • ตรวจสอบสภาพแวดล้อมแบบแซนด์บ็อกซ์ และลบตัวเองออกหากตรวจพบ

    • EDDIESTEALER สามารถลบตัวเองได้โดยการเปลี่ยนชื่อ NTFS Alternate Data Streams ซึ่งคล้ายกับเทคนิคที่มัลแวร์ Latrodectus ใช้เพื่อหลีกเลี่ยงการล็อกไฟล์

    การใช้ประโยชน์จากโครเมียมด้วย ChromeKatz

    คุณสมบัติที่น่ากังวลที่สุดประการหนึ่งของมัลแวร์คือความสามารถในการหลีกเลี่ยงการเข้ารหัสที่ผูกกับแอปของ Chromium โดยผสานการใช้งาน Rust ของ ChromeKatz ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ออกแบบมาเพื่อทิ้งคุกกี้และข้อมูลรับรองจากเบราว์เซอร์ที่ใช้ Chromium

    หากเบราว์เซอร์เป้าหมายไม่ได้ทำงานอยู่ EDDIESTEALER จะเปิดอินสแตนซ์เบราว์เซอร์ที่ซ่อนอยู่โดยใช้คำสั่ง '--window-position=-3000,-3000 https://google.com' ซึ่งจะทำให้สามารถเข้าถึงหน่วยความจำที่เชื่อมโยงกับกระบวนการย่อย '-utility-sub-type=network.mojom. NetworkService' ได้ และดึงข้อมูลรับรองออกมาในที่สุด

    ขยายความสามารถในเวอร์ชันอัปเดต

    EDDIESTEALER เวอร์ชันล่าสุดยังสามารถรวบรวม:

    • กระบวนการที่กำลังทำงาน
    • รายละเอียด GPU
    • จำนวนคอร์ CPU, ชื่อ CPU และผู้จัดจำหน่าย
    • ข้อมูลระบบ (ส่งไปที่เซิร์ฟเวอร์ก่อนกำหนดค่างานด้วยซ้ำ)

    นอกจากนี้ คีย์การเข้ารหัสที่ใช้ในการสื่อสารระหว่างไคลเอนต์กับเซิร์ฟเวอร์ยังถูกเข้ารหัสแบบฮาร์ดโค้ดไว้ในไบนารี ซึ่งช่วยเพิ่มความปลอดภัยในการทำงาน นอกจากนี้ ผู้ขโมยยังสามารถเปิดใช้กระบวนการ Chrome ใหม่ด้วย '--remote-debugging-port=' เพื่อเปิดใช้งานการโต้ตอบเบราว์เซอร์แบบไม่มีส่วนหัวผ่านโปรโตคอล DevTools โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

    แคมเปญ ClickFix ข้ามแพลตฟอร์ม

    การใช้ Rust สำหรับ EDDIESTEALER เน้นย้ำถึงแนวโน้มที่เพิ่มขึ้นในหมู่นักพัฒนาซอฟต์แวร์ที่เป็นอันตราย โดยใช้ประโยชน์จากคุณสมบัติภาษาสมัยใหม่เพื่อการซ่อนตัว ความเสถียร และการหลบเลี่ยงการตรวจจับ

    แคมเปญนี้เป็นส่วนหนึ่งของความพยายามที่กว้างขึ้นของผู้โจมตีเพื่อใช้ประโยชน์จากกลยุทธ์ ClickFix บนแพลตฟอร์มต่างๆ นักวิจัยที่ c/side ได้สังเกตเห็นการโจมตีที่คล้ายกันซึ่งกำหนดเป้าหมายไปที่ macOS, Android และ iOS สำหรับ macOS JavaScript ที่เป็นอันตรายจะเปลี่ยนเส้นทางไปยังเพจที่สั่งให้เหยื่อเรียกใช้สคริปต์เชลล์เทอร์มินัลโดยใช้งาน Atomic macOS Stealer (AMOS)

    สำหรับผู้เยี่ยมชมที่ใช้ระบบปฏิบัติการ Android, iOS และ Windows การดาวน์โหลดแบบผ่านไดรฟ์จะปล่อยมัลแวร์โทรจันแบบแยกต่างหาก ซึ่งทำให้เป็นภัยคุกคามที่มีความยืดหยุ่นสูงและสามารถใช้ได้หลายแพลตฟอร์ม

    บทสรุป

    แคมเปญ EDDIESTEALER แสดงให้เห็นถึงประสิทธิภาพของการจัดการทางสังคมร่วมกับการพัฒนาซอฟต์แวร์ที่เป็นอันตรายอย่างซับซ้อน คอร์ขั้นสูงที่ใช้ Rust ความสามารถในการปรับให้เข้ากับแพลตฟอร์มต่างๆ และความสามารถในการหลีกเลี่ยงการป้องกันเบราว์เซอร์เน้นย้ำถึงความต้องการที่เพิ่มขึ้นขององค์กรและบุคคลต่างๆ ในการเฝ้าระวังและดำเนินการเชิงรุกในมาตรการรักษาความปลอดภัยทางไซเบอร์

    มาแรง

    Perwousesoc.com ครับ

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    อินเทอร์เน็ตเต็มไปด้วยข้อมูลอันมีค่าและกับดักที่ซ่อนอยู่ ในขณะที่การสืบค้นข้อมูลดูเหมือนจะเป็นเรื่องปกติ แต่การคลิกเพียงครั้งเดียวโดยประมาทบนไซต์ที่ไม่ถูกต้องอาจเปิดประตูสู่กลวิธี มัลแวร์...

    Berolorladentra.co.in

    เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
    การคลิกเพียงครั้งเดียวโดยประมาทอาจทำให้ผู้ใช้เสี่ยงต่อภัยคุกคามทางไซเบอร์ กลวิธี หรือสิ่งที่เลวร้ายกว่านั้น ผู้กระทำความผิดที่มีจิตใจชั่วร้ายมักจะใช้กลวิธีของตนเพื่อหลอกลวง จัดการ...

    การหลอกลวงรางวัลโหวต HyperLend

    เว็บไซต์อันธพาล
    อินเทอร์เน็ตให้โอกาสมากมายแต่ก็เป็นแหล่งรวมของภัยคุกคามที่ซับซ้อนมากขึ้นเรื่อยๆ เช่นกัน ตั้งแต่โปรโมชั่นปลอมไปจนถึงการขโมยเงินดิจิตอล...

    เข้าชมมากที่สุด

    มัลแวร์

    ฟิชชิ่ง, สแปม
    34,096
    ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
    'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

    'Geek Squad' อีเมลหลอกลวง

    ฟิชชิ่ง, สแปม
    31,957
    Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

    ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

    แอดแวร์
    23,755
    เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...
    กำลังโหลด...