Multi-License Discount Quote
Banta sa Database Malware EDDIESTEALER Malware

EDDIESTEALER Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

May lumitaw na bagong malware campaign, na namamahagi ng advanced na Rust-based information stealer na kilala bilang EDDIESTEALER. Gamit ang isang matalinong taktika ng social engineering na tinatawag na ClickFix, hinihikayat ng mga umaatake ang mga user sa pamamagitan ng mga pekeng pahina ng pag-verify ng CAPTCHA upang magsagawa ng mga nakakahamak na script. Kapag aktibo na, kinukuha ng EDDIESTEALER ang sensitibong data gaya ng mga kredensyal, data ng browser, at mga detalye ng wallet ng cryptocurrency.

Chain ng Infection: Mula sa Pekeng CAPTCHA hanggang sa Full-Blown Infostealer

Nagsisimula ang pag-atake sa mga lehitimong website na nakompromiso sa mga nakakahamak na JavaScript payload. Ang mga bisita ay ipinapakita ng isang pekeng pahina ng CAPTCHA na nag-uudyok sa kanila na "patunayan na hindi ka robot" sa pamamagitan ng tatlong hakbang na proseso.
Ang proseso ay kinabibilangan ng:

  • Binubuksan ang dialog ng Windows Run.
  • Pag-paste ng paunang nakopya na utos.
  • Isinasagawa ito upang i-verify ang kanilang sarili.

Ang tila hindi nakapipinsalang pagkilos na ito ay nagti-trigger ng isang obfuscated na PowerShell command na kumukuha ng susunod na yugto ng payload mula sa isang malayuang server (llll[.]fit).

Payload Deployment at Palihim na Pagpapatupad

Ang nakakahamak na JavaScript (gverify.js) ay nai-save sa folder ng Mga Download ng biktima at tahimik na isinasagawa gamit ang cscript. Ang tungkulin ng intermediate na script na ito ay kunin ang EDDIESTEALER binary mula sa parehong malayong server, i-save ito gamit ang isang random na 12-character na filename sa folder ng Mga Download.

Ang EDDIESTEALER malware ay may kakayahang:

  • Kolektahin ang metadata ng system.
  • Tumanggap ng mga tagubilin mula sa isang Command-and-Control (C2) server.
  • I-exfiltrate ang data mula sa infected na system, kabilang ang data ng browser, cryptocurrency wallet, password manager, FTP client, at messaging app.

Ang mga target ay maaaring isaayos ng C2 operator. Ang pag-access sa file ay pinangangasiwaan gamit ang karaniwang kernel32.dll function tulad ng CreateFileW, GetFileSizeEx, ReadFile, at CloseHandle.

Mga Feature ng Pag-exfiltration ng Data at Anti-Analysis

Pagkatapos ng bawat gawain, ang nakolektang data ay naka-encrypt at ipinapadala sa C2 server sa pamamagitan ng hiwalay na mga kahilingan sa HTTP POST. Upang manatili sa ilalim ng radar, ginagamit ng malware ang:

  • String encryption.
  • Isang pasadyang mekanismo ng paghahanap ng WinAPI upang malutas ang mga tawag sa API.
  • Isang mutex upang matiyak na isang instance lang ang tatakbo.
  • Sinusuri ang mga naka-sandbox na kapaligiran, tinatanggal ang sarili nito kung natukoy.

    • Maaaring tanggalin pa ng EDDIESTEALER ang sarili nito sa pamamagitan ng pagpapalit ng pangalan sa NTFS Alternate Data Streams, katulad ng mga diskarteng ginagamit ng Latrodectus malware, upang i-bypass ang mga lock ng file.

    Pagsasamantala ng Chromium sa ChromeKatz

    Ang isa sa mga pinaka-nakakatuwang feature ng malware ay ang kakayahan nitong i-bypass ang app-bound encryption ng Chromium. Pinagsasama nito ang isang Rust na pagpapatupad ng ChromeKatz, isang open-source na tool na idinisenyo upang mag-dump ng cookies at mga kredensyal mula sa mga browser na nakabatay sa Chromium.

    Kung hindi tumatakbo ang naka-target na browser, maglulunsad ang EDDIESTEALER ng isang nakatagong instance ng browser gamit ang '--window-position=-3000,-3000 https://google.com na utos.' Binibigyang-daan nito na ma-access ang memorya na nauugnay sa '-utility-sub-type=network.mojom. Ang proseso ng bata ng NetworkService, sa huli ay kumukuha ng mga kredensyal.

    Mga Pinalawak na Kakayahan sa Mga Na-update na Variant

    Ang mga kamakailang bersyon ng EDDIESTEALER ay maaari ding magtipon ng:

    • Mga prosesong tumatakbo.
    • Mga detalye ng GPU.
    • Bilang ng mga CPU core, pangalan ng CPU, at vendor.
    • Impormasyon ng system (ipinadala sa server kahit na bago ang configuration ng gawain).

    Bukod pa rito, ang encryption key na ginagamit para sa komunikasyon ng client-to-server ay hard-coded sa binary, na nagpapahusay sa seguridad sa pagpapatakbo. Ang magnanakaw ay maaari ding maglunsad ng bagong proseso ng Chrome na may '--remote-debugging-port=' upang paganahin ang mga walang ulo na pakikipag-ugnayan sa browser sa DevTools Protocol, walang kinakailangang pakikipag-ugnayan ng user.

    Cross-Platform ClickFix Campaign

    Ang paggamit ng Rust para sa EDDIESTEALER ay nagha-highlight ng lumalaking trend sa mga developer ng malware, na gumagamit ng mga modernong feature ng wika para sa stealth, stability, at pag-iwas sa pagtuklas.

    Ang kampanyang ito ay bahagi ng isang mas malawak na pagsisikap ng mga umaatake upang magamit ang mga taktika ng ClickFix sa maraming platform. Naobserbahan ng mga mananaliksik sa c/side ang mga katulad na pag-atake na nagta-target sa macOS, Android, at iOS. Para sa macOS, nagre-redirect ang nakakahamak na JavaScript sa isang page na nagtuturo sa mga biktima na magpatakbo ng Terminal shell script, na nagde-deploy ng Atomic macOS Stealer (AMOS).

    Para sa mga bisita sa Android, iOS, at Windows, ang isang drive-by download na scheme ay nagde-deploy ng hiwalay na Trojan malware, na ginagawa itong isang napakaraming nalalaman at cross-platform na banta.

    Konklusyon

    Ang EDDIESTEALER campaign ay nagpapakita ng pagiging epektibo ng social engineering na sinamahan ng sopistikadong pag-develop ng malware. Itinatampok ng advanced na Rust-based core, cross-platform adaptability, at kakayahang i-bypass ang mga proteksyon ng browser sa lumalaking pangangailangan para sa mga organisasyon at indibidwal na manatiling mapagbantay at proactive sa kanilang postura sa cybersecurity.

    Trending

    Pinaka Nanood

    Naglo-load...