Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware EDDIESTEALER-Malware

EDDIESTEALER-Malware

Von Mezo in Malware
Übersetzen Sie in:

Eine neue Malware-Kampagne verbreitet einen fortschrittlichen, Rust-basierten Informationsdieb namens EDDIESTEALER. Mithilfe einer cleveren Social-Engineering-Taktik namens ClickFix locken Angreifer Benutzer über gefälschte CAPTCHA-Verifizierungsseiten, um schädliche Skripte auszuführen. Sobald EDDIESTEALER aktiv ist, sammelt er sensible Daten wie Anmeldeinformationen, Browserdaten und Kryptowährungs-Wallet-Details.

Infektionskette: Vom gefälschten CAPTCHA zum vollwertigen Infostealer

Der Angriff beginnt damit, dass legitime Websites mit schädlichen JavaScript-Nutzdaten kompromittiert werden. Besuchern wird eine gefälschte CAPTCHA-Seite angezeigt, auf der sie in einem dreistufigen Prozess „beweisen“ müssen, dass sie kein Roboter sind.
Der Prozess umfasst:

  • Öffnen des Windows-Ausführen-Dialogs.
  • Einfügen eines vorab kopierten Befehls.
  • Führen Sie es aus, um sich zu verifizieren.

Diese scheinbar harmlose Aktion löst einen verschleierten PowerShell-Befehl aus, der eine Nutzlast der nächsten Stufe von einem Remote-Server abruft (llll[.]fit).

Bereitstellung und heimliche Ausführung von Nutzlasten

Das schädliche JavaScript (gverify.js) wird im Download-Ordner des Opfers gespeichert und mithilfe von cscript unbeaufsichtigt ausgeführt. Die Aufgabe dieses Zwischenskripts besteht darin, die EDDIESTEALER-Binärdatei vom selben Remote-Server abzurufen und sie unter einem zufälligen 12-stelligen Dateinamen im Download-Ordner zu speichern.

Die EDDIESTEALER-Malware kann:

  • Sammeln Sie Systemmetadaten.
  • Empfangen Sie Anweisungen von einem Command-and-Control-Server (C2).
  • Exfiltrieren Sie Daten aus dem infizierten System, einschließlich Browserdaten, Kryptowährungs-Wallets, Passwortmanagern, FTP-Clients und Messaging-Apps.

Ziele können durch den C2-Operator angepasst werden. Der Dateizugriff erfolgt über Standardfunktionen von kernel32.dll wie CreateFileW, GetFileSizeEx, ReadFile und CloseHandle.

Datenexfiltrations- und Anti-Analysefunktionen

Nach jeder Aufgabe werden die gesammelten Daten verschlüsselt und über separate HTTP-POST-Anfragen an den C2-Server gesendet. Um unauffällig zu bleiben, verwendet die Malware:

  • Zeichenfolgenverschlüsselung.
  • Ein benutzerdefinierter WinAPI-Suchmechanismus zum Auflösen von API-Aufrufen.
  • Ein Mutex, um sicherzustellen, dass nur eine Instanz ausgeführt wird.
  • Überprüft, ob Sandbox-Umgebungen vorhanden sind, und löscht sich selbst, wenn eine solche erkannt wird.

    • EDDIESTEALER kann sich sogar selbst löschen, indem es alternative NTFS-Datenströme umbenennt, ähnlich den Techniken, die von der Latrodectus-Malware verwendet werden, um Dateisperren zu umgehen.

    Chromium-Ausnutzung mit ChromeKatz

    Eine der besorgniserregendsten Eigenschaften der Malware ist ihre Fähigkeit, die App-gebundene Verschlüsselung von Chromium zu umgehen. Sie integriert eine Rust-Implementierung von ChromeKatz, einem Open-Source-Tool, das Cookies und Anmeldeinformationen von Chromium-basierten Browsern entnimmt.

    Wenn der Zielbrowser nicht läuft, startet EDDIESTEALER eine versteckte Browserinstanz mit dem Befehl „--window-position=-3000,-3000 https://google.com“. Dadurch kann auf den Speicher zugegriffen werden, der mit dem untergeordneten Prozess „-utility-sub-type=network.mojom.NetworkService“ verknüpft ist, und schließlich Anmeldeinformationen extrahiert werden.

    Erweiterte Funktionen in aktualisierten Varianten

    Neuere Versionen von EDDIESTEALER können außerdem Folgendes erfassen:

    • Laufende Prozesse.
    • GPU-Details.
    • Anzahl der CPU-Kerne, CPU-Name und Hersteller.
    • Systeminformationen (werden bereits vor der Taskkonfiguration an den Server gesendet).

    Darüber hinaus ist der für die Client-Server-Kommunikation verwendete Verschlüsselungsschlüssel fest in der Binärdatei kodiert, was die Betriebssicherheit erhöht. Der Dieb kann außerdem einen neuen Chrome-Prozess mit „--remote-debugging-port=“ starten, um Headless-Browser-Interaktionen über das DevTools-Protokoll zu ermöglichen, ohne dass eine Benutzerinteraktion erforderlich ist.

    Plattformübergreifende ClickFix-Kampagne

    Die Verwendung von Rust für EDDIESTEALER unterstreicht einen wachsenden Trend unter Malware-Entwicklern, moderne Sprachfunktionen für Tarnung, Stabilität und Umgehung der Erkennung zu nutzen.

    Diese Kampagne ist Teil einer umfassenderen Strategie von Angreifern, ClickFix-Taktiken plattformübergreifend einzusetzen. Forscher von c/side haben ähnliche Angriffe auf macOS, Android und iOS beobachtet. Bei macOS leitet das bösartige JavaScript auf eine Seite weiter, die die Opfer anweist, ein Terminal-Shell-Skript auszuführen und so den Atomic macOS Stealer (AMOS) einzusetzen.

    Für Android-, iOS- und Windows-Besucher wird über ein Drive-by-Download-Schema eine separate Trojaner-Malware bereitgestellt, was diese zu einer äußerst vielseitigen und plattformübergreifenden Bedrohung macht.

    Abschluss

    Die EDDIESTEALER-Kampagne demonstriert die Effektivität von Social Engineering in Kombination mit ausgefeilter Malware-Entwicklung. Ihr fortschrittlicher Rust-basierter Kern, die plattformübergreifende Anpassungsfähigkeit und die Fähigkeit, Browser-Schutzmechanismen zu umgehen, unterstreichen die wachsende Notwendigkeit für Organisationen und Einzelpersonen, wachsam und proaktiv in ihrer Cybersicherheitsstrategie zu bleiben.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...