Шкідливе програмне забезпечення EDDIESTEALER
З'явилася нова кампанія шкідливого програмного забезпечення, яка розповсюджує вдосконалений викрадач інформації на базі Rust, відомий як EDDIESTEALER. Використовуючи хитру тактику соціальної інженерії під назвою ClickFix, зловмисники заманюють користувачів через підроблені сторінки перевірки CAPTCHA для виконання шкідливих скриптів. Після активації EDDIESTEALER збирає конфіденційні дані, такі як облікові дані, дані браузера та деталі криптовалютного гаманця.
Зміст
Ланцюг зараження: від підробленої капчі до повноцінного інфостейлера
Атака починається зі злому легітимних вебсайтів за допомогою шкідливого JavaScript-колода. Відвідувачам показується фальшива сторінка CAPTCHA, на якій їм пропонується «довести, що ви не робот» за допомогою триетапного процесу.
Процес включає:
- Відкриття діалогового вікна «Виконати» у Windows.
- Вставка попередньо скопійованої команди.
- Виконують це для самоперевірки.
Ця, здавалося б, нешкідлива дія запускає завуальовану команду PowerShell, яка отримує корисне навантаження наступного етапу з віддаленого сервера (llll[.]fit).
Розгортання корисного навантаження та приховане виконання
Шкідливий JavaScript (gverify.js) зберігається в папці «Завантаження» жертви та виконується непомітно за допомогою cscript. Роль цього проміжного скрипта полягає в отриманні бінарного файлу EDDIESTEALER з того ж віддаленого сервера та збереженні його з випадковим 12-символьним ім'ям файлу в папці «Завантаження».
Шкідливе програмне забезпечення EDDIESTEALER здатне:
- Збирати системні метадані.
- Отримувати інструкції від сервера командування та управління (C2).
- Витягнути дані із зараженої системи, включаючи дані браузера, криптовалютні гаманці, менеджери паролів, FTP-клієнти та месенджери.
Цілі можна налаштувати оператором C2. Доступ до файлів здійснюється за допомогою стандартних функцій kernel32.dll, таких як CreateFileW, GetFileSizeEx, ReadFile та CloseHandle.
Функції вилучення даних та антианалізу
Після кожного завдання зібрані дані шифруються та надсилаються на сервер C2 через окремі HTTP POST-запити. Щоб залишатися непоміченим, шкідливе програмне забезпечення використовує:
- Шифрування рядків.
EDDIESTEALER може навіть видалити себе, перейменувавши альтернативні потоки даних NTFS, подібно до методів, що використовуються шкідливим програмним забезпеченням Latrodectus для обходу блокування файлів.
Експлуатація Chromium за допомогою ChromeKatz
Одна з найбільш тривожних функцій шкідливого програмного забезпечення — його здатність обходити шифрування Chromium, пов’язане з програмами. Воно інтегрує реалізацію Rust ChromeKatz, інструменту з відкритим кодом, призначеного для отримання файлів cookie та облікових даних з браузерів на базі Chromium.
Якщо цільовий браузер не запущено, EDDIESTEALER запускає прихований екземпляр браузера за допомогою команди '--window-position=-3000,-3000 https://google.com'. Це дозволяє йому отримати доступ до пам'яті, пов'язаної з дочірнім процесом '-utility-sub-type=network.mojom.NetworkService', зрештою витягуючи облікові дані.
Розширені можливості в оновлених варіантах
Останні версії EDDIESTEALER також можуть збирати:
- Запущені процеси.
- Деталі графічного процесора.
- Кількість ядер процесора, назва процесора та постачальник.
- Системна інформація (надсилається на сервер ще до налаштування завдання).
Крім того, ключ шифрування, який використовується для зв'язку між клієнтом і сервером, жорстко закодований у двійковому файлі, що підвищує безпеку роботи. Зловмисник також може запускати новий процес Chrome з '--remote-debugging-port=', щоб забезпечити безголову взаємодію з браузером через протокол DevTools без необхідності взаємодії з користувачем.
Кросплатформна кампанія ClickFix
Використання Rust для EDDIESTEALER підкреслює зростаючу тенденцію серед розробників шкідливого програмного забезпечення, які використовують сучасні мовні функції для прихованості, стабільності та уникнення виявлення.
Ця кампанія є частиною ширших зусиль зловмисників щодо використання тактики ClickFix на кількох платформах. Дослідники c/side спостерігали подібні атаки, спрямовані на macOS, Android та iOS. У macOS шкідливий JavaScript перенаправляє на сторінку, яка вказує жертвам запустити скрипт оболонки терміналу, розгортаючи Atomic macOS Stealer (AMOS).
Для відвідувачів Android, iOS та Windows схема завантаження через drive-by використовує окреме троянське шкідливе програмне забезпечення, що робить цю загрозу дуже універсальною та кросплатформною.
Висновок
Кампанія EDDIESTEALER демонструє ефективність соціальної інженерії в поєднанні з розробкою складних шкідливих програм. Її вдосконалене ядро на базі Rust, кросплатформна адаптивність та здатність обходити захист браузера підкреслюють зростаючу потребу організацій та окремих осіб залишатися пильними та проактивними у своїй кібербезпеці.
