Eddiestealer

Editors' Pick

Az Elastic Security Labs jelentése szerint egy új, Rust nyelven írt, Eddiestealer nevű információlopó kártevő terjed hamis CAPTCHA-ellenőrzéseken keresztül. A támadók olyan weboldalakat hoznak létre vagy kompromittálnak, amelyek megtévesztő CAPTCHA-képernyőket jelenítenek meg, például “Nem vagyok robot” üzenetekkel, ezzel ösztönözve a felhasználókat egy PowerShell parancs futtatására. Ez a parancs letölt egy második szakaszbeli JavaScript-fájlt, amely végül az Eddiestealer kártevőt telepíti a rendszerre.

Az Eddiestealer célja érzékeny adatok, például bejelentkezési adatok, böngészőinformációk és kriptovaluta pénztárcák adatainak gyűjtése. A kártevő kommunikál egy vezérlőszerverrel (C2), amelytől utasításokat kap a célzott adatok típusairól. A Rust nyelv használata megnehezíti a kártevő elemzését és észlelését, mivel a nyelv jellemzői, például a memória-biztonság és a típusrendszer, kihívást jelentenek a hagyományos elemzési eszközök számára.

A kártevő elemzése során kiderült, hogy a legtöbb, rosszindulatú tevékenységre utaló szöveg titkosítva van, és a kártevő nem rendelkezik erős anti-sandbox vagy virtuális gép elleni védelemmel. Azonban újabb változatai esetében felmerült, hogy ezek az ellenőrzések a szerveroldalon történnek. Az Eddiestealer viszonylag egyszerű funkciókkal rendelkezik, de képes önmagát törölni végrehajtás után, ha ezt a konfiguráció előírja.

FORRÁS