Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım EDDIESTEALER Kötü Amaçlı Yazılım

EDDIESTEALER Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı ve EDDIESTEALER olarak bilinen gelişmiş bir Rust tabanlı bilgi hırsızı dağıtıyor. ClickFix adlı akıllı bir sosyal mühendislik taktiğinden yararlanan saldırganlar, kötü amaçlı komut dosyalarını yürütmek için kullanıcıları sahte CAPTCHA doğrulama sayfaları aracılığıyla kandırıyor. EDDIESTEALER etkinleştiğinde kimlik bilgileri, tarayıcı verileri ve kripto para cüzdanı ayrıntıları gibi hassas verileri topluyor.

Enfeksiyon Zinciri: Sahte CAPTCHA’dan Tam Teşekküllü Bilgi Hırsızına

Saldırı, meşru web sitelerinin kötü amaçlı JavaScript yükleriyle tehlikeye atılmasıyla başlar. Ziyaretçilere üç adımlı bir süreçle "robot olmadığınızı kanıtlamanızı" isteyen sahte bir CAPTCHA sayfası gösterilir.
Süreç şu şekildedir:

  • Windows Çalıştır iletişim kutusunu açıyoruz.
  • Önceden kopyalanmış bir komutun yapıştırılması.
  • Kendilerini doğrulamak için bunu uyguluyorlar.

Görünüşte zararsız olan bu eylem, uzak bir sunucudan bir sonraki aşama yükünü getiren (llll[.]fit) belirsiz bir PowerShell komutunu tetikler.

Yük Dağıtımı ve Gizli Yürütme

Kötü amaçlı JavaScript (gverify.js) kurbanın İndirilenler klasörüne kaydedilir ve cscript kullanılarak sessizce yürütülür. Bu ara betiğin rolü, EDDIESTEALER ikilisini aynı uzak sunucudan almak ve onu İndirilenler klasörüne rastgele 12 karakterli bir dosya adıyla kaydetmektir.

EDDIESTEALER kötü amaçlı yazılımı şunları yapabilir:

  • Sistem meta verilerini toplayın.
  • Komuta ve Kontrol (C2) sunucusundan talimatlar alın.
  • Tarayıcı verileri, kripto para cüzdanları, parola yöneticileri, FTP istemcileri ve mesajlaşma uygulamaları dahil olmak üzere enfekte sistemden verileri dışarı sızdırın.

Hedefler C2 operatörü tarafından ayarlanabilir. Dosya erişimi, CreateFileW, GetFileSizeEx, ReadFile ve CloseHandle gibi standart kernel32.dll işlevleri kullanılarak işlenir.

Veri Sızdırma ve Analiz Karşıtı Özellikler

Her görevden sonra toplanan veriler şifrelenir ve ayrı HTTP POST istekleri aracılığıyla C2 sunucusuna gönderilir. Radar altında kalmak için kötü amaçlı yazılım şunları kullanır:

  • Dize şifrelemesi.
  • API çağrılarını çözmek için özel bir WinAPI arama mekanizması.
  • Yalnızca bir örneğin çalışmasını sağlamak için bir mutex.
  • Korumalı ortamları kontrol eder, tespit edilirse kendini siler.

EDDIESTEALER, Latrodectus kötü amaçlı yazılımının dosya kilitlerini aşmak için kullandığı tekniklere benzer şekilde NTFS Alternatif Veri Akışlarını yeniden adlandırarak kendini silebilir.

ChromeKatz ile Chromium Kullanımı

Kötü amaçlı yazılımın en endişe verici özelliklerinden biri, Chromium'un uygulama bağlantılı şifrelemesini aşma yeteneğidir. Chromium tabanlı tarayıcılardan çerezleri ve kimlik bilgilerini boşaltmak için tasarlanmış açık kaynaklı bir araç olan ChromeKatz'ın bir Rust uygulamasını entegre eder.

Hedeflenen tarayıcı çalışmıyorsa, EDDIESTEALER '--window-position=-3000,-3000 https://google.com komutunu' kullanarak gizli bir tarayıcı örneği başlatır. Bu, '-utility-sub-type=network.mojom.NetworkService' alt işlemiyle ilişkili belleğe erişmesine ve sonuç olarak kimlik bilgilerini çıkarmasına olanak tanır.

Güncellenmiş Varyantlarda Genişletilmiş Yetenekler

EDDIESTEALER'ın son sürümleri ayrıca şunları da toplayabilir:

  • Çalışan işlemler.
  • GPU detayları.
  • CPU çekirdek sayısı, CPU adı ve satıcı.
  • Sistem bilgisi (görev yapılandırmasından önce bile sunucuya gönderilir).

Ek olarak, istemci-sunucu iletişimi için kullanılan şifreleme anahtarı ikili dosyaya sabit kodlanmıştır ve bu da operasyonel güvenliği artırır. Hırsız ayrıca, DevTools Protokolü üzerinden başsız tarayıcı etkileşimlerini etkinleştirmek için '--remote-debugging-port=' ile yeni bir Chrome işlemi başlatabilir, kullanıcı etkileşimi gerekmez.

Platformlar Arası ClickFix Kampanyası

EDDIESTEALER için Rust'ın kullanılması, kötü amaçlı yazılım geliştiricileri arasında gizlilik, istikrar ve tespit edilmekten kaçınma için modern dil özelliklerinin kullanılmasıyla artan bir eğilimi vurgulamaktadır.

Bu kampanya, saldırganların ClickFix taktiklerini birden fazla platformda kullanma yönündeki daha geniş çaplı çabalarının bir parçasıdır. c/side'daki araştırmacılar macOS, Android ve iOS'u hedef alan benzer saldırılar gözlemlediler. macOS için kötü amaçlı JavaScript, kurbanlara bir Terminal kabuk betiği çalıştırmaları talimatını veren bir sayfaya yönlendirerek Atomic macOS Stealer'ı (AMOS) dağıtır.

Android, iOS ve Windows kullanıcıları için, geçişli indirme planı ayrı bir Truva atı kötü amaçlı yazılımı dağıtır ve bu da onu son derece çok yönlü ve platformlar arası bir tehdit haline getirir.

Çözüm

EDDIESTEALER kampanyası, karmaşık kötü amaçlı yazılım geliştirmeyle birleştirilen sosyal mühendisliğin etkinliğini göstermektedir. Gelişmiş Rust tabanlı çekirdeği, platformlar arası uyarlanabilirliği ve tarayıcı korumalarını aşma yeteneği, kuruluşların ve bireylerin siber güvenlik duruşlarında dikkatli ve proaktif kalmaları için artan ihtiyacı vurgulamaktadır.

trend

En çok görüntülenen

Yükleniyor...