EDDIESTEALER 恶意软件

近期出现了一个新型恶意软件活动，该活动传播一种名为 EDDIESTEALER 的基于 Rust 的高级信息窃取程序。攻击者利用一种名为 ClickFix 的巧妙社会工程学策略，通过伪造的 CAPTCHA 验证页面诱骗用户执行恶意脚本。一旦激活，EDDIESTEALER 就会窃取敏感数据，例如凭证、浏览器数据和加密货币钱包详细信息。

感染链：从伪造的验证码到成熟的信息窃取程序

攻击始于合法网站被恶意 JavaScript 负载入侵。攻击者会向访问者显示一个伪造的验证码页面，提示他们通过三个步骤“证明您不是机器人”。
该过程包括：

• 打开 Windows 运行对话框。
• 粘贴预先复制的命令。
• 执行它来验证自己。

这个看似无害的行为会触发一个混淆的 PowerShell 命令，该命令从远程服务器 (llll[.]fit) 获取下一阶段的有效负载。

有效载荷部署和隐秘执行

恶意 JavaScript (gverify.js) 会保存到受害者的 Downloads 文件夹中，并使用 cscript 静默执行。此中间脚本的作用是从同一远程服务器检索 EDDIESTEALER 二进制文件，并将其以随机的 12 个字符文件名保存到 Downloads 文件夹中。

EDDIESTEALER 恶意软件能够：

• 收集系统元数据。
• 接收来自命令和控制 (C2) 服务器的指令。
• 从受感染的系统中窃取数据，包括浏览器数据、加密货币钱包、密码管理器、FTP 客户端和消息应用程序。

C2 操作员可以调整目标。文件访问使用标准 kernel32.dll 函数（例如 CreateFileW、GetFileSizeEx、ReadFile 和 CloseHandle）进行处理。

数据泄露和反分析功能

每次任务完成后，收集的数据都会被加密，并通过单独的 HTTP POST 请求发送到 C2 服务器。为了不被发现，该恶意软件使用了以下方式：

• 字符串加密。

EDDIESTEALER 甚至可以通过重命名 NTFS 备用数据流来删除自身，类似于 Latrodectus 恶意软件使用的技术，以绕过文件锁。

使用 ChromeKatz 进行 Chromium 漏洞利用

该恶意软件最令人担忧的功能之一是它能够绕过 Chromium 的应用程序绑定加密。它集成了 ChromeKatz 的 Rust 实现，ChromeKatz 是一款开源工具，旨在从基于 Chromium 的浏览器中转储 Cookie 和凭据。

如果目标浏览器未运行，EDDIESTEALER 会使用“--window-position=-3000,-3000 https://google.com 命令”启动隐藏的浏览器实例。这使得它能够访问与“-utility-sub-type=network.mojom. NetworkService”子进程关联的内存，最终提取凭据。

升级版本中的扩展功能

EDDIESTEALER 的最新版本还可以收集：

• 正在运行的进程。
• GPU 详细信息。
• CPU 核心数、CPU 名称和供应商。
• 系统信息（在任务配置之前发送到服务器）。

此外，用于客户端到服务器通信的加密密钥被硬编码到二进制文件中，从而增强了操作安全性。窃取程序还可以使用“--remote-debugging-port=”启动新的 Chrome 进程，从而通过 DevTools 协议实现无头浏览器交互，无需任何用户交互。

跨平台 ClickFix 营销活动

EDDIESTEALER 使用 Rust 凸显了恶意软件开发人员的一种日益增长的趋势，他们利用现代语言特性实现隐身、稳定和逃避检测。

此次攻击活动是攻击者在多个平台上利用 ClickFix 策略的广泛行动的一部分。c/side 的研究人员观察到针对 macOS、Android 和 iOS 的类似攻击。对于 macOS，恶意 JavaScript 会重定向到一个页面，指示受害者运行终端 shell 脚本，从而部署 Atomic macOS Stealer (AMOS)。

对于 Android、iOS 和 Windows 访问者，驱动下载方案会部署单独的木马恶意软件，使其成为一种高度通用且跨平台的威胁。

结论

EDDIESTEALER 攻击活动展现了社会工程学与复杂恶意软件开发相结合的有效性。该攻击活动基于先进的 Rust 内核，具备跨平台适应性，并能够绕过浏览器保护机制，这凸显了组织和个人日益增长的网络安全意识和主动防御能力。