Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera koja koristi obmanjujuće CAPTCHA stranice za verifikaciju kako bi distribuisali novootkriveni infostealer zasnovan na Rustu, pod nazivom EDDIESTEALER.
Ova kampanja predstavlja značajnu evoluciju u taktikama socijalnog inženjeringa , gdje hakeri iskorištavaju poznavanje korisnika s rutinskim procesima sigurnosne provjere kako bi ih prevarili da izvrše maliciozni kod.
Maliciozni softver koristi složeni višestepeni mehanizam isporuke koji počinje tako što kompromitovane web stranice prikazuju uvjerljive lažne ekrane za provjeru “Nisam robot”, što na kraju dovodi do postavljanja moćnog alata za krađu podataka sposobnog za prikupljanje podataka o kredencijalima, informacijama o pretraživaču i detaljima o kriptovalutnim novčanicima .
Vektor napada pokazuje izuzetnu sofisticiranost u svojoj metodologiji izvršenja. Početni pristup se odvija putem kompromitovanih web stranica koje koriste obfusirane JavaScript korisne podatke zasnovane na Reactu, predstavljajući korisnicima ono što izgleda kao legitimni Google reCAPTCHA interfejs za verifikaciju.
Ovi lažni ekrani za verifikaciju upućuju korisnike da izvrše naizgled bezopasne radnje: pritisnu Windows Key + R za otvaranje dijaloga Run, zatim Ctrl + V za lijepljenje sadržaja međuspremnika i na kraju Enter za izvršenje naredbe.
Žrtva nije znala da je maliciozni JavaScript već kopirao PowerShell naredbu u međuskladište koristeći metodu document.execCommand(“kopiraj”).
Analitičari Elastic Security Labsa identifikovali su ovu novu prijetnju putem sveobuhvatne telemetrijske analize, otkrivši da kampanja koristi sofisticiranu komandnu strukturu koja tiho preuzima sekundarne korisne podatke iz infrastrukture koju kontroliše napadač.
PowerShell naredba automatski preuzima JavaScript datoteku pod nazivom “gverify.js” iz domena kao što je hxxps://1111.fit/version/, koja potom preuzima glavnu izvršnu datoteku EDDIESTEALER s pseudonasumično generisanim nazivom datoteke od 12 znakova.
Ovaj višeslojni pristup efikasno prikriva pravu prirodu napada, a istovremeno održava privid legitimnih procesa verifikacije sistema.
.webp)
Uticaj malicioznog softvera proteže se daleko izvan jednostavne krađe podataka, ciljajući širok raspon osjetljivih podataka, uključujući kriptovalutne novčanike, podatke pohranjene u pretraživaču, baze podataka upravitelja lozinki, konfiguracije FTP klijenata i aplikacije za razmjenu poruka.
EDDIESTEALER pokazuje posebnu sofisticiranost u svom pristupu sigurnosti modernih pretraživača, implementirajući tehnike slične ChromeKatz-u kako bi zaobišao zaštitu šifrovanja vezanu za aplikacije uvedenu u novijim verzijama Chrome-a.
.webp)
Sposobnost malicioznog softvera da se prilagodi promjenjivim sigurnosnim mjerama naglašava stalnu prijetnju koju predstavljaju dobro opremljene sajber kriminalne organizacije.
Napredni mehanizmi izbjegavanja i istrajnosti
EDDIESTEALER koristi više slojeva tehnika obfuskacije i izbjegavanja koje ga razlikuju od konvencionalnih kradljivaca informacija.
Maliciozni softver koristi opsežno šifrovanje stringova putem XOR šifri, pri čemu svaka rutina za dešifrovanje koristi različite funkcije izvođenja ključeva koje prihvataju binarne adrese i 4-bajtne konstante za izračunavanje lokacija XOR ključeva.
Ovaj pristup značajno komplikuje napore statičke analize, jer istraživači moraju rekonstruisati više prilagođenih algoritama za dešifrovanje kako bi izdvojili značajne artefakte.
Maliciozni softver implementira sofisticirano API maskiranje putem prilagođenog mehanizma za pretraživanje Windows API-ja. Umjesto oslanjanja na standardne tabele uvoza, EDDIESTEALER dinamički razrješava adrese funkcija održavanjem lokalne heš tabele prethodno razriješenih API poziva.
Kada je potrebna nova funkcija, maliciozni softver koristi prilagođene implementacije LoadLibrary i GetProcAddress za preuzimanje adresa, a zatim ih kešira za buduću upotrebu.
Ova tehnika efikasno izbjegava sisteme detekcije zasnovane na potpisima koji se oslanjaju na analizu tabele uvoza.
EDDIESTEALER uključuje više funkcija protiv analize, uključujući detekciju sandbox-a zasnovanu na memoriji koja procjenjuje ukupnu fizičku memoriju kako bi utvrdila da li sistem ispunjava minimalne zahtjeve od približno 4,0 GB.
Izvor: CyberSecurityNews
