Una nuova campagna di malware sta distribuendo un nuovo padiglione di informazioni basato su Rust soprannominato Eddiestealer usando il popolare ClickFix Tattica di ingegneria sociale iniziata tramite false pagine di verifica CAPTCHA.
“Questa campagna sfrutta le pagine di verifica ingannevole Captcha che inducono gli utenti a eseguire una sceneggiatura di PowerShell dannosa, che alla effective distribuisce l’infostealer, raccogliendo dati sensibili come credenziali, informazioni sul browser e dettagli sul portafoglio di criptovaluta” disse in un’analisi.
Le catene di attacco iniziano con gli attori della minaccia che compromettono siti Internet legittimi con carichi di utili Javascript dannosi che servono pagine di assegnazione del captcha fasulle, che spingono i visitatori del sito a “dimostrare che non sono (a) robotic” seguendo un processo in tre fasi, una tattica prevalente chiamata ClickFix.
Ciò implica istruire la potenziale vittima di aprire il immediate della finestra di dialogo Home windows Esegui, incollare un comando già copiato nella “finestra di verifica” (cioè la finestra di dialogo Esegui) e premere Invio. Ciò provoca effettivamente l’esecuzione del comando PowerShell offuscato, risultando nel recupero di un payload in stadio successivo da un server esterno (“llll (.) Adatto”).
Il payload JavaScript (“Gverify.js”) viene successivamente salvato nella cartella dei obtain della vittima ed eseguito usando CScript in una finestra nascosta. L’obiettivo principale dello script intermedio è quello di recuperare il binario di Eddiestealer dallo stesso server remoto e memorizzarlo nella cartella Obtain con un nome file pseudorandom 12-character.
Scritto in Rust, Eddiesieler è un malware per il furto di merci in grado di raccogliere metadati di sistema, ricevere attività da un server di comando e controllo (C2) e dati di sifon di interesse dall’host infetto. Gli obiettivi di esfiltrazione includono portafogli di criptovaluta, browser Internet, gestori di password, consumer FTP e app di messaggistica.
“Questi obiettivi sono soggetti a modifiche in quanto sono configurabili dall’operatore C2”, ha spiegato Elastic. “Eddiestealer quindi legge i file mirati utilizzando funzioni customary di kernel32.dll come CreateFilew, GetFilesizeex, ReadFile e CloseHandle.”
Le informazioni host raccolte vengono crittografate e trasmesse al server C2 in una richiesta di put up HTTP separata dopo il completamento di ciascuna attività.
Oltre a incorporare la crittografia delle stringhe, il malware impiega un meccanismo di ricerca WINAPI personalizzato per la risoluzione delle chiamate API e crea un mutex per garantire che una sola versione sia in esecuzione in qualsiasi momento. Incorpora anche controlli per determinare se viene eseguito in un ambiente sandbox e, in tal caso, si elimina dal disco.
“Basato su un simile Tecnica di auto-delezione osservato in LatrodectusEddiestealer è in grado di eliminarsi attraverso i flussi di dati alternativi NTFS Rinomina, per bypassare i blocchi dei file “, ha osservato Elastic.
Un’altra caratteristica degna di nota integrata nel furto è la sua capacità di bypassare il cromo Crittografia legata all’app per ottenere l’accesso a dati sensibili non crittografati, come i cookie. Ciò si ottiene includendo un’implementazione della ruggine di Chromekatzuno strumento open supply in grado di scaricare cookie e credenziali dalla memoria dei browser a base di cromo.
La versione Rust di Chromekatz incorpora anche le modifiche per gestire gli scenari in cui il browser Chromium mirato non è in esecuzione. In tali casi, genera una nuova istanza del browser utilizzando gli argomenti di comando “-Window-Place = -3000, -3000 https://google.com”, posizionando effettivamente la nuova finestra molto fuori dallo schermo e rendendo la sua invisibile all’utente.
Nell’apertura del browser, il obiettivo è consentire al malware di leggere la memoria associata a Servizio di rete Processo figlio di Chrome identificato dal flag “-utility-sub-type = community.mojom.networkservice” e alla effective estrarre le credenziali.
Elastic ha affermato di aver anche identificato le versioni aggiornate del malware con funzionalità per la raccolta di processi di esecuzione, informazioni GPU, numero di core CPU, nome della CPU e fornitore di CPU. Inoltre, le nuove varianti modificano il modello di comunicazione C2 inviando preventivamente le informazioni host al server prima di ricevere la configurazione dell’attività.
Non è tutto. La chiave di crittografia utilizzata per la comunicazione client-server è codificata nel binario, invece di recuperarla dinamicamente dal server. Inoltre, è stato scoperto che il furto lancia un nuovo processo di Chrome con-Distant-debugging-Port =
“Questa adozione della ruggine nello sviluppo di malware riflette una tendenza in crescita tra gli attori delle minacce che cercano di sfruttare le caratteristiche linguistiche moderne per la furtività, la stabilità e la resilienza migliorate dai tradizionali flussi di lavoro di analisi e motori di rilevamento delle minacce”, ha affermato la società.
La divulgazione arriva come c/lato rivelato Dettagli di una campagna ClickFix che si rivolge a più piattaforme, come Apple MacOS, Android e iOS, utilizzando tecniche come reindirizzamenti basati su browser, false istruzioni dell’interfaccia utente e tecniche di obtain drive-by.
La catena di attacco inizia con un JavaScript offuscato ospitato su un sito Internet, che, quando visitato da MacOS, avvia una serie di reindirizzamenti a una pagina che guida le vittime per lanciare il terminale ed eseguire uno script di shell, che porta al obtain di un malware di furto che è stato segnalato su virustotale come il furto di macOS atomico (AMOS).
Tuttavia, la stessa campagna è stata configurata per avviare uno schema di obtain drive-by quando si visita la pagina internet da un dispositivo Android, iOS o Home windows, portando alla distribuzione di un altro Malware di Trojan.
Le divulgazioni coincidono con l’emergere di nuove famiglie di malware come Katz Stealer e AppleProcessHub Stealer di destinazione rispettivamente di Home windows e MacOS e sono in grado di raccogliere una vasta gamma di informazioni da ospiti infetti, secondo Nextron e Kandji.
Katz Stealer, come Eddiestealer, è progettato per aggirare la crittografia legata all’app di Chrome, ma in modo diverso impiegando Iniezione DLL per ottenere il Chiave di crittografia Senza privilegi di amministratore e usarlo per decifrare cookie e password crittografate dai browser a base di cromo.
“Gli aggressori nascondono JavaScript dannosi nei file GZIP, che, una volta aperti, attivano il obtain di uno script PowerShell”, Nextron disse. “Questo script recupera un payload del caricatore basato su .NET, che inietta il furto in un processo legittimo. Una volta attivo, si estende i dati rubati al server di comando e controllo.”
AppleProcessHub Stealer, d’altra parte, è progettato per esfiltrarsi i file utente tra cui cronologia di bash, cronologia ZSH, configurazioni GitHub, informazioni SSH e icloud keychain.
Le sequenze di attacchi che distribuiscono il malware comportano l’uso di un binario Mach-O che scarica uno script di Stealer Bash Second Stage dal server “AppleProcessHub (.) Com” e lo esegue, i cui risultati vengono quindi esfiltrati al server C2. I dettagli del malware sono stati condivisi per la prima volta dal MalwareHunterTeam il 15 maggio 2025 e da MacPaw Moonlock Lab la settimana scorsa.
“Questo è un esempio di Mach-O scritto in Goal-C che comunica con un server di comando e controllo per eseguire gli script”, il ricercatore di Kandji Christopher Lopez disse.
