Nova kampanja malicioznog softvera distribuiše novi kradljivac informacija zasnovan na Rustu, nazvan EDDIESTEALER, koristeći popularnu taktiku društvenog inženjeringa ClickFix , pokrenutu putem lažnih CAPTCHA stranica za verifikaciju.
„Ova kampanja koristi obmanjujuće CAPTCHA stranice za verifikaciju koje vara korisnike da izvrše maliciozni PowerShell skript, koji na kraju aktivira infostealer, prikupljajući osjetljive podatke poput kredencijala, informacija o pretreživaču i detalja o kriptovalutnom novčaniku“, rekao je istraživač Elastic Security Labsa Jia Yu Chan u analizi.
Lanci napada počinju tako što hakeri kompromituju legitimne web stranice maliciozni JavaScript sadržajem koji prikazuje lažne CAPTCHA stranice za provjeru, što potiče posjetitelje stranice da “dokažu da nisu robot” slijedeći proces od tri koraka, što je uobičajena taktika pod nazivom ClickFix .
Ovo uključuje instrukcije potencijalnoj žrtvi da otvori dijalog za pokretanje sistema Windows, zalijepi već kopiranu komandu u “prozor za verifikaciju” (tj. dijalog za pokretanje) i pritisne enter. Ovo efektivno uzrokuje izvršavanje obfusirane PowerShell komande, što rezultira preuzimanjem sljedećeg sadržaja sa eksternog servera (“llll[.]fit”).
JavaScript korisni teret (“gverify.js”) se potom sprema u mapu Preuzimanja žrtve i izvršava pomoću cscript-a u skrivenom prozoru. Glavni cilj posredničkog skripta je dohvatiti binarnu datoteku EDDIESTEALER sa istog udaljenog servera i pohraniti je u mapu Preuzimanja s pseudonasumičnim nazivom datoteke od 12 znakova.
Napisan u Rustu, EDDIESTEALER je maliciozni softver za krađu robe koji može prikupljati metapodatke sistema, primati zadatke sa servera za komande i kontrolu (C2) i krasti podatke od zaraženog hosta. Mete krađe uključuju kriptovalutne novčanike, web ptreživača, upravitelje lozinki, FTP klijente i aplikacije za razmjenu poruka.
„Ovi ciljevi su podložni promjenama jer ih može konfigurisati C2 operator“, objasnio je Elastic. „EDDIESTEALER zatim čita ciljane datoteke koristeći standardne kernel32.dll funkcije kao što su CreateFileW, GetFileSizeEx, ReadFile i CloseHandle.“
Prikupljene informacije o hostu se šifriraju i prenose na C2 server u zasebnom HTTP POST zahtjevu nakon završetka svakog zadatka.
Pored uključivanja enkripcije stringova, malicozni softver koristi prilagođeni WinAPI mehanizam pretraživanja za rješavanje API poziva i kreira mutex kako bi se osiguralo da se u bilo kojem trenutku izvršava samo jedna verzija. Takođe uključuje provjere kako bi se utvrdilo da li se izvršava u sandbox okruženju i, ako je tako, briše se s diska.
„Na osnovu slične tehnike samobrisanja uočene kod Latrodectusa , EDDIESTEALER je sposoban da se sam izbriše putem preimenovanja NTFS alternativnih tokova podataka, kako bi zaobišao zaključavanje datoteka“, napomenuo je Elastic.
Još jedna značajna karakteristika ugrađena u ovaj program za krađu podataka je njegova sposobnost da zaobiđe Chromiumovu enkripciju vezanu za aplikacije kako bi dobio pristup nešifriranim osjetljivim podacima, kao što su kolačići. To se postiže uključivanjem Rust implementacije ChromeKatz-a , alata otvorenog koda koji može izvući kolačiće i podatke za prijavu iz memorije preglednika baziranih na Chromiumu.
Rust verzija ChromeKatza također uključuje promjene za rješavanje scenarija u kojima ciljani Chromium pretreživač nije pokrenut. U takvim slučajevima, pokreće se nova instanca preglednika koristeći argumente komandne linije “–window-position=-3000,-3000 https://google.com”, efektivno pozicionirajući novi prozor daleko izvan ekrana i čineći ga nevidljivim za korisnika.
Prilikom otvaranja pretreživača, cilj je omogućiti malicizoni softveru da čita memoriju povezanu s podređenim procesom mrežne usluge Chromea, koji je identifikovan zastavom “-utility-sub-type=network.mojom.NetworkService”, i na kraju izdvoji kredencijale.
Elastic je saopštio da je takođe idefikovan ažurirane verzije maliciozan softvera s funkcijama za prikupljanje pokrenutih procesa, informacija o GPU-u, broju CPU jezgara, nazivu CPU-a i proizvođaču CPU-a. Osim toga, nove varijante mijenjaju C2 komunikacijski obrazac preventivnim slanjem informacija o hostu serveru prije primanja konfiguracije zadatka.
To nije sve. Ključ za šifriranje koji se koristi za komunikaciju između klijenta i servera je ugrađen u binarnu datoteku, umjesto da se dinamički preuzima sa servera. Nadalje, otkriveno je da kradljivac pokreće novi Chrome proces sa zastavom –remote-debugging-port=<broj_porta> kako bi omogućio DevTools protokol preko lokalnog WebSocket interfejsa i tako omogućio interakciju s pretreživačom na način koji nije vezan za pretreživač, bez potrebe za bilo kakvom interakcijom korisnika.
„Ovo usvajanje Rusta u razvoju malicioznog softvera odražava rastući trend među hakerima koji žele iskoristiti moderne jezičke karakteristike za poboljšanu prikrivenost, stabilnost i otpornost na tradicionalne analitičke tokove rada i mehanizme za detekciju prijetnji“, saopštila je kompanija.
Ovo otkriće dolazi nakon što je c/side otkrio detalje ClickFix kampanje koja cilja više platformi, kao što su Apple macOS, Android i iOS, koristeći tehnike poput preusmjeravanja na osnovu pretreživača, lažnih korisničkih upita i tehnika preuzimanja putem aplikacije “drive-by”.
Lanac napada počinje s obfusiranim JavaScript kodom smještenim na web stranici, koji, kada se posjeti iz macOS-a, pokreće niz preusmjeravanja na stranicu koja vodi žrtve da pokrenu Terminal i pokrenu shell skriptu, što dovodi do preuzimanja malicioznog softvera za krađu podataka koji je na VirusTotalu označen kao Atomic macOS Stealer (AMOS).
Međutim, ista kampanja je konfigurisana da pokrene shemu preuzimanja putem drive-by sistema prilikom posjete web stranici sa Android, iOS ili Windows uređaja, što dovodi do postavljanja drugog trojanskog malicioznog softvera .
Otkrića se poklapaju s pojavom novih porodica malicizonih programa za krađu podataka, poput Katz Stealer i AppleProcessHub Stealer, koji ciljaju Windows i macOS, respektivno, i sposobni su prikupljati širok spektar informacija sa zaraženih hostova, prema Nextronu i Kandjiju.
Katz Stealer, poput EDDIESTEALER-a, dizajniran je da zaobiđe Chromeovo šifriranje vezano za aplikacije, ali na drugačiji način korištenjem DLL injekcije za dobijanje ključa za šifriranje bez administratorskih privilegija i korištenjem istog za dešifriranje šifriranih kolačića i lozinki iz preglednika baziranih na Chromiumu.
„Napadači skrivaju malicizoni JavaScript u gzip datotekama, koje, kada se otvore, pokreću preuzimanje PowerShell skripte“, rekao je Nextron . „Ova skripta preuzima .NET-bazirani korisni teret programa za učitavanje, koji ubrizgava kradljivca u legitimni proces. Nakon što je aktivan, on izvlači ukradene podatke na komandni i kontrolni server.“
S druge strane, AppleProcessHub Stealer je dizajniran za krađu korisničkih datoteka, uključujući historiju bash-a, historiju zsh-a, GitHub konfiguracije, SSH informacije i iCloud Keychain.
Sekvence napada koje distribuiraju malicizoni softver podrazumijevaju korištenje Mach-O binarnog programa koji preuzima bash stealer skriptu druge faze sa servera “appleprocesshub[.]com” i pokreće je, čiji se rezultati zatim eksfiltriraju nazad na C2 server. Detalje o malicizonom softveru prvi put je podijelio MalwareHunterTeam 15. maja 2025. godine, a MacPaw-ov Moonlock Lab prošle sedmice.
„Ovo je primjer Mach-O napisanog u Objective-C-u koji komunicira sa serverom za komande i kontrolu kako bi izvršavao skripte“, rekao je istraživač Kandjija Christopher Lopez .
Izvor:The Hacker News
