Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại EDDIESTEALER

Phần mềm độc hại EDDIESTEALER

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Một chiến dịch phần mềm độc hại mới đã xuất hiện, phân phối một trình đánh cắp thông tin tiên tiến dựa trên Rust được gọi là EDDIESTEALER. Tận dụng một chiến thuật kỹ thuật xã hội thông minh có tên là ClickFix, những kẻ tấn công dụ người dùng thông qua các trang xác minh CAPTCHA giả để thực thi các tập lệnh độc hại. Khi hoạt động, EDDIESTEALER thu thập dữ liệu nhạy cảm như thông tin đăng nhập, dữ liệu trình duyệt và thông tin chi tiết về ví tiền điện tử.

Chuỗi lây nhiễm: Từ CAPTCHA giả mạo đến kẻ đánh cắp thông tin thực thụ

Cuộc tấn công bắt đầu bằng việc các trang web hợp pháp bị xâm nhập bằng các đoạn mã JavaScript độc hại. Người truy cập được hiển thị một trang CAPTCHA giả yêu cầu họ "chứng minh bạn không phải là rô-bốt" thông qua quy trình ba bước.
Quá trình này bao gồm:

  • Mở hộp thoại Run của Windows.
  • Dán lệnh đã sao chép trước.
  • Thực hiện để tự xác minh.

Hành động có vẻ vô hại này kích hoạt lệnh PowerShell được mã hóa để lấy dữ liệu giai đoạn tiếp theo từ máy chủ từ xa (llll[.]fit).

Triển khai tải trọng và thực hiện bí mật

JavaScript độc hại (gverify.js) được lưu vào thư mục Tải xuống của nạn nhân và được thực thi âm thầm bằng cscript. Vai trò của tập lệnh trung gian này là lấy tệp nhị phân EDDIESTEALER từ cùng một máy chủ từ xa, lưu tệp này với tên tệp 12 ký tự ngẫu nhiên trong thư mục Tải xuống.

Phần mềm độc hại EDDIESTEALER có khả năng:

  • Thu thập siêu dữ liệu hệ thống.
  • Nhận hướng dẫn từ máy chủ Chỉ huy và Kiểm soát (C2).
  • Trích xuất dữ liệu từ hệ thống bị nhiễm, bao gồm dữ liệu trình duyệt, ví tiền điện tử, trình quản lý mật khẩu, máy khách FTP và ứng dụng nhắn tin.

Mục tiêu có thể được điều chỉnh bởi toán tử C2. Truy cập tệp được xử lý bằng các hàm kernel32.dll chuẩn như CreateFileW, GetFileSizeEx, ReadFile và CloseHandle.

Tính năng lọc dữ liệu và chống phân tích

Sau mỗi tác vụ, dữ liệu thu thập được sẽ được mã hóa và gửi đến máy chủ C2 thông qua các yêu cầu HTTP POST riêng biệt. Để ẩn mình, phần mềm độc hại sử dụng:

  • Mã hóa chuỗi.
  • Cơ chế tra cứu WinAPI tùy chỉnh để giải quyết các lệnh gọi API.
  • Một mutex để đảm bảo chỉ có một phiên bản chạy.
  • Kiểm tra môi trường hộp cát và tự xóa nếu phát hiện thấy.

EDDIESTEALER thậm chí có thể tự xóa bằng cách đổi tên Luồng dữ liệu thay thế NTFS, tương tự như các kỹ thuật được phần mềm độc hại Latrodectus sử dụng để bỏ qua khóa tệp.

Khai thác Chromium với ChromeKatz

Một trong những tính năng đáng lo ngại nhất của phần mềm độc hại này là khả năng vượt qua mã hóa liên kết ứng dụng của Chromium. Nó tích hợp triển khai Rust của ChromeKatz, một công cụ nguồn mở được thiết kế để dump cookie và thông tin đăng nhập từ các trình duyệt dựa trên Chromium.

Nếu trình duyệt mục tiêu không chạy, EDDIESTEALER sẽ khởi chạy một phiên bản trình duyệt ẩn bằng lệnh '--window-position=-3000,-3000 https://google.com'. Lệnh này cho phép nó truy cập bộ nhớ được liên kết với tiến trình con '-utility-sub-type=network.mojom. NetworkService', cuối cùng là trích xuất thông tin đăng nhập.

Khả năng mở rộng trong các biến thể được cập nhật

Các phiên bản gần đây của EDDIESTEALER cũng có thể thu thập:

  • Tiến trình đang chạy.
  • Chi tiết về GPU.
  • Số lõi CPU, tên CPU và nhà cung cấp.
  • Thông tin hệ thống (được gửi đến máy chủ ngay cả trước khi cấu hình tác vụ).

Ngoài ra, khóa mã hóa được sử dụng cho giao tiếp giữa máy khách và máy chủ được mã hóa cứng vào nhị phân, tăng cường bảo mật hoạt động. Kẻ đánh cắp cũng có thể khởi chạy một quy trình Chrome mới với '--remote-debugging-port=' để cho phép tương tác trình duyệt không cần giao diện qua Giao thức DevTools, không cần tương tác của người dùng.

Chiến dịch ClickFix đa nền tảng

Việc sử dụng Rust cho EDDIESTEALER làm nổi bật xu hướng đang phát triển trong số các nhà phát triển phần mềm độc hại, tận dụng các tính năng ngôn ngữ hiện đại để ẩn mình, ổn định và tránh bị phát hiện.

Chiến dịch này là một phần trong nỗ lực rộng lớn hơn của những kẻ tấn công nhằm tận dụng các chiến thuật ClickFix trên nhiều nền tảng. Các nhà nghiên cứu tại c/side đã quan sát thấy các cuộc tấn công tương tự nhắm vào macOS, Android và iOS. Đối với macOS, JavaScript độc hại chuyển hướng đến một trang hướng dẫn nạn nhân chạy tập lệnh shell Terminal, triển khai Atomic macOS Stealer (AMOS).

Đối với người dùng Android, iOS và Windows, chương trình tải xuống tự động triển khai phần mềm độc hại Trojan riêng biệt, khiến đây trở thành mối đe dọa đa nền tảng và cực kỳ linh hoạt.

Phần kết luận

Chiến dịch EDDIESTEALER chứng minh tính hiệu quả của kỹ thuật xã hội kết hợp với phát triển phần mềm độc hại tinh vi. Lõi dựa trên Rust tiên tiến, khả năng thích ứng đa nền tảng và khả năng vượt qua các biện pháp bảo vệ của trình duyệt làm nổi bật nhu cầu ngày càng tăng đối với các tổ chức và cá nhân trong việc duy trì cảnh giác và chủ động trong tư thế an ninh mạng của họ.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
34,096
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...