EDDIESTEALER 惡意軟體

近期出現了一個新型惡意軟體活動，該活動傳播一種名為 EDDIESTEALER 的基於 Rust 的高級資訊竊取程式。攻擊者利用一種名為 ClickFix 的巧妙社會工程學策略，透過偽造的 CAPTCHA 驗證頁面誘騙使用者執行惡意腳本。一旦激活，EDDIESTEALER 就會竊取敏感數據，例如憑證、瀏覽器數據和加密貨幣錢包詳細資訊。

感染鏈：從偽造的驗證碼到成熟的資訊竊取程序

攻擊始於合法網站被惡意 JavaScript 負載入侵。攻擊者會向訪客顯示一個偽造的驗證碼頁面，提示他們透過三個步驟「證明您不是機器人」。
過程包括：

• 開啟 Windows 執行對話方塊。
• 貼上預先複製的命令。
• 執行它來驗證自己。

這個看似無害的行為會觸發一個混淆的 PowerShell 命令，該命令從遠端伺服器 (llll[.]fit) 取得下一階段的有效負載。

有效載荷部署和隱密執行

惡意 JavaScript (gverify.js) 會儲存到受害者的 Downloads 資料夾中，並使用 cscript 靜默執行。此中間腳本的作用是從同一台遠端伺服器檢索 EDDIESTEALER 二進位文件，並將其以隨機的 12 個字元檔案名稱儲存到 Downloads 資料夾中。

EDDIESTEALER 惡意軟體能夠：

• 收集系統元資料。
• 接收來自命令和控制 (C2) 伺服器的指令。
• 從受感染的系統中竊取數據，包括瀏覽器資料、加密貨幣錢包、密碼管理器、FTP 用戶端和訊息應用程式。

C2 操作員可以調整目標。檔案存取使用標準 kernel32.dll 函數（例如 CreateFileW、GetFileSizeEx、ReadFile 和 CloseHandle）進行處理。

資料外洩和反分析功能

每次任務完成後，收集的資料都會被加密，並透過單獨的 HTTP POST 請求傳送到 C2 伺服器。為了不被發現，該惡意軟體使用了以下方式：

• 字串加密。

EDDIESTEALER 甚至可以透過重命名 NTFS 備用資料流來刪除自身，類似於 Latrodectus 惡意軟體使用的技術，以繞過檔案鎖定。

使用 ChromeKatz 進行 Chromium 漏洞利用

該惡意軟體最令人擔憂的功能之一是它能夠繞過 Chromium 的應用程式綁定加密。它整合了 ChromeKatz 的 Rust 實現，ChromeKatz 是一款開源工具，旨在從基於 Chromium 的瀏覽器中轉儲 Cookie 和憑證。

如果目標瀏覽器未執行，EDDIESTEALER 會使用「--window-position=-3000,-3000 https://google.com 指令」啟動隱藏的瀏覽器實例。這使得它能夠存取與“-utility-sub-type=network.mojom. NetworkService”子程序關聯的內存，最終提取憑證。

升級版本中的擴充功能

EDDIESTEALER 的最新版本還可以收集：

• 正在運行的進程。
• GPU 詳細資訊。
• CPU 核心數、CPU 名稱和供應商。
• 系統資訊（在任務配置之前發送到伺服器）。

此外，用於客戶端到伺服器通訊的加密金鑰被硬編碼到二進位檔案中，從而增強了操作安全性。竊取程式還可以使用「--remote-debugging-port=」啟動新的 Chrome 進程，從而透過 DevTools 協議實現無頭瀏覽器交互，無需任何用戶交互。

跨平台 ClickFix 行銷活動

EDDIESTEALER 使用 Rust 凸顯了惡意軟體開發人員的一種日益增長的趨勢，他們利用現代語言特性實現隱身、穩定和逃避檢測。

這次攻擊活動是攻擊者在多個平台上利用 ClickFix 策略的廣泛行動的一部分。 c/side 的研究人員觀察到針對 macOS、Android 和 iOS 的類似攻擊。對於 macOS，惡意 JavaScript 會重新導向到一個頁面，指示受害者執行終端 shell 腳本，從而部署 Atomic macOS Stealer (AMOS)。

對於 Android、iOS 和 Windows 訪客，驅動程式下載方案會部署單獨的木馬惡意軟體，使其成為高度通用且跨平台的威脅。

結論

EDDIESTEALER 攻擊活動展現了社會工程學與複雜惡意軟體開發相結合的有效性。該攻擊活動基於先進的 Rust 內核，具備跨平台適應性，並能夠繞過瀏覽器保護機制，凸顯了組織和個人日益增長的網路安全意識和主動防禦能力。