Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant EDDIESTEALER

Logiciel malveillant EDDIESTEALER

Par Mezo en Logiciels malveillants
Se traduisent par :

Une nouvelle campagne de malware a émergé, diffusant un voleur d'informations avancé basé sur Rust, appelé EDDIESTEALER. Exploitant une tactique astucieuse d'ingénierie sociale appelée ClickFix, les attaquants attirent les utilisateurs via de fausses pages de vérification CAPTCHA pour exécuter des scripts malveillants. Une fois actif, EDDIESTEALER collecte des données sensibles telles que les identifiants, les données de navigation et les détails du portefeuille de cryptomonnaies.

Chaîne d’infection : du faux CAPTCHA au voleur d’informations à grande échelle

L'attaque commence par la compromission de sites web légitimes par des charges utiles JavaScript malveillantes. Les visiteurs sont alors invités à prouver qu'ils ne sont pas un robot en suivant un processus en trois étapes.
Le processus implique :

  • Ouverture de la boîte de dialogue Exécuter de Windows.
  • Coller une commande pré-copiée.
  • L'exécuter pour se vérifier.

Cet acte apparemment anodin déclenche une commande PowerShell obscurcie qui récupère une charge utile de l'étape suivante à partir d'un serveur distant (llll[.]fit).

Déploiement de la charge utile et exécution furtive

Le code JavaScript malveillant (gverify.js) est enregistré dans le dossier Téléchargements de la victime et exécuté silencieusement à l'aide de cscript. Ce script intermédiaire récupère le binaire EDDIESTEALER depuis le même serveur distant et l'enregistre dans le dossier Téléchargements sous un nom de fichier aléatoire de 12 caractères.

Le malware EDDIESTEALER est capable de :

  • Collecter les métadonnées du système.
  • Recevez des instructions d'un serveur de commandement et de contrôle (C2).
  • Exfiltrez les données du système infecté, y compris les données du navigateur, les portefeuilles de crypto-monnaie, les gestionnaires de mots de passe, les clients FTP et les applications de messagerie.

Les cibles peuvent être ajustées par l'opérateur C2. L'accès aux fichiers est géré par les fonctions standard de kernel32.dll telles que CreateFileW, GetFileSizeEx, ReadFile et CloseHandle.

Fonctionnalités d’exfiltration et d’anti-analyse des données

Après chaque tâche, les données collectées sont chiffrées et envoyées au serveur C2 via des requêtes HTTP POST distinctes. Pour rester discret, le logiciel malveillant utilise :

  • Cryptage de chaîne.
  • Un mécanisme de recherche WinAPI personnalisé pour résoudre les appels API.
  • Un mutex pour garantir qu'une seule instance s'exécute.
  • Vérifie les environnements sandboxés et se supprime s'il est détecté.

EDDIESTEALER peut même se supprimer en renommant les flux de données alternatifs NTFS, de manière similaire aux techniques utilisées par le malware Latrodectus, pour contourner les verrous de fichiers.

Exploitation de Chromium avec ChromeKatz

L'une des fonctionnalités les plus inquiétantes du malware est sa capacité à contourner le chiffrement des applications Chromium. Il intègre une implémentation Rust de ChromeKatz, un outil open source conçu pour récupérer les cookies et les identifiants des navigateurs Chromium.

Si le navigateur ciblé n'est pas en cours d'exécution, EDDIESTEALER lance une instance de navigateur masquée à l'aide de la commande « --window-position=-3000,-3000 https://google.com ». Cela lui permet d'accéder à la mémoire associée au processus enfant « -utility-sub-type=network.mojom. NetworkService », et d'extraire les informations d'identification.

Capacités étendues dans les variantes mises à jour

Les versions récentes d'EDDIESTEALER peuvent également rassembler :

  • Processus en cours d'exécution.
  • Détails du GPU.
  • Nombre de cœurs de processeur, nom du processeur et fournisseur.
  • Informations système (envoyées au serveur avant même la configuration de la tâche).

De plus, la clé de chiffrement utilisée pour la communication client-serveur est codée en dur dans le binaire, ce qui renforce la sécurité opérationnelle. Le voleur peut également lancer un nouveau processus Chrome avec « --remote-debugging-port= » pour permettre des interactions sans interface utilisateur via le protocole DevTools, sans intervention de l'utilisateur.

Campagne ClickFix multiplateforme

L'utilisation de Rust pour EDDIESTEALER met en évidence une tendance croissante parmi les développeurs de logiciels malveillants, exploitant les fonctionnalités du langage moderne pour la furtivité, la stabilité et l'évasion de la détection.

Cette campagne s'inscrit dans une stratégie plus large menée par des attaquants pour exploiter les tactiques ClickFix sur plusieurs plateformes. Les chercheurs de c/side ont observé des attaques similaires ciblant macOS, Android et iOS. Sur macOS, le code JavaScript malveillant redirige vers une page demandant aux victimes d'exécuter un script shell Terminal, déployant Atomic macOS Stealer (AMOS).

Pour les visiteurs Android, iOS et Windows, un système de téléchargement par drive-by déploie un malware cheval de Troie distinct, ce qui en fait une menace très polyvalente et multiplateforme.

Conclusion

La campagne EDDIESTEALER démontre l'efficacité de l'ingénierie sociale combinée à un développement sophistiqué de logiciels malveillants. Son cœur avancé basé sur Rust, son adaptabilité multiplateforme et sa capacité à contourner les protections des navigateurs soulignent la nécessité croissante pour les organisations et les particuliers de rester vigilants et proactifs en matière de cybersécurité.

Tendance

Le plus regardé

Chargement...