Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware EDDIESTEALER

Malware EDDIESTEALER

Por Mezo en Software malicioso
Traducir a:

Ha surgido una nueva campaña de malware que distribuye un ladrón de información avanzado basado en Rust, conocido como EDDIESTEALER. Mediante una ingeniosa táctica de ingeniería social llamada ClickFix, los atacantes atraen a los usuarios a través de páginas falsas de verificación CAPTCHA para ejecutar scripts maliciosos. Una vez activo, EDDIESTEALER recopila datos confidenciales como credenciales, datos del navegador y detalles de la billetera de criptomonedas.

Cadena de infección: de un CAPTCHA falso a un ladrón de información de pleno derecho

El ataque comienza con sitios web legítimos comprometidos con cargas útiles de JavaScript maliciosas. A los visitantes se les muestra una página CAPTCHA falsa que les pide que demuestren que no son un robot mediante un proceso de tres pasos.
El proceso implica:

  • Abrir el cuadro de diálogo Ejecutar de Windows.
  • Pegar un comando precopiado.
  • Ejecutándolo para verificarse.

Este acto aparentemente inocuo desencadena un comando de PowerShell ofuscado que obtiene una carga útil de la siguiente etapa desde un servidor remoto (llll[.]fit).

Despliegue de carga útil y ejecución sigilosa

El JavaScript malicioso (gverify.js) se guarda en la carpeta de Descargas de la víctima y se ejecuta silenciosamente mediante cscript. La función de este script intermedio es recuperar el binario EDDIESTEALER del mismo servidor remoto y guardarlo con un nombre de archivo aleatorio de 12 caracteres en la carpeta de Descargas.

El malware EDDIESTEALER es capaz de:

  • Recopilar metadatos del sistema.
  • Recibir instrucciones de un servidor de comando y control (C2).
  • Exfiltrar datos del sistema infectado, incluidos datos del navegador, billeteras de criptomonedas, administradores de contraseñas, clientes FTP y aplicaciones de mensajería.

Los destinos se pueden ajustar con el operador C2. El acceso a los archivos se gestiona mediante funciones estándar de kernel32.dll, como CreateFileW, GetFileSizeEx, ReadFile y CloseHandle.

Funciones anti-análisis y exfiltración de datos

Tras cada tarea, los datos recopilados se cifran y se envían al servidor C2 mediante solicitudes HTTP POST independientes. Para pasar desapercibido, el malware utiliza:

  • Cifrado de cadenas.
  • Un mecanismo de búsqueda WinAPI personalizado para resolver llamadas API.
  • Un mutex para garantizar que solo se ejecute una instancia.
  • Comprueba si hay entornos aislados y se elimina a sí mismo si los detecta.

EDDIESTEALER puede incluso eliminarse a sí mismo cambiando el nombre de los flujos de datos alternativos de NTFS, de forma similar a las técnicas utilizadas por el malware Latrodectus para evitar los bloqueos de archivos.

Explotación de Chromium con ChromeKatz

Una de las características más preocupantes del malware es su capacidad para eludir el cifrado de aplicaciones de Chromium. Integra una implementación de ChromeKatz en Rust, una herramienta de código abierto diseñada para extraer cookies y credenciales de navegadores basados en Chromium.

Si el navegador de destino no se está ejecutando, EDDIESTEALER inicia una instancia de navegador oculta mediante el comando '--window-position=-3000,-3000 https://google.com'. Esto le permite acceder a la memoria asociada con el proceso secundario '-utility-sub-type=network.mojom. NetworkService' y, en última instancia, extraer las credenciales.

Capacidades ampliadas en variantes actualizadas

Las versiones recientes de EDDIESTEALER también pueden recopilar:

  • Procesos en ejecución.
  • Detalles de la GPU.
  • Número de núcleos de CPU, nombre de la CPU y proveedor.
  • Información del sistema (enviada al servidor incluso antes de la configuración de la tarea).

Además, la clave de cifrado utilizada para la comunicación cliente-servidor está codificada en el binario, lo que mejora la seguridad operativa. El ladrón también puede iniciar un nuevo proceso de Chrome con '--remote-debugging-port=' para habilitar interacciones del navegador sin interfaz gráfica a través del protocolo DevTools, sin necesidad de interacción del usuario.

Campaña ClickFix multiplataforma

El uso de Rust para EDDIESTEALER destaca una tendencia creciente entre los desarrolladores de malware, que aprovechan las características del lenguaje moderno para lograr sigilo, estabilidad y evasión de la detección.

Esta campaña forma parte de un esfuerzo más amplio de los atacantes para aprovechar las tácticas de ClickFix en múltiples plataformas. Los investigadores de c/side han observado ataques similares dirigidos a macOS, Android e iOS. En macOS, el JavaScript malicioso redirige a una página que indica a las víctimas que ejecuten un script de shell de Terminal, implementando Atomic macOS Stealer (AMOS).

Para los visitantes de Android, iOS y Windows, un esquema de descarga automática implementa un malware troyano separado, lo que lo convierte en una amenaza altamente versátil y multiplataforma.

Conclusión

La campaña EDDIESTEALER demuestra la eficacia de la ingeniería social combinada con el desarrollo de malware sofisticado. Su núcleo avanzado basado en Rust, su adaptabilidad multiplataforma y su capacidad para eludir las protecciones del navegador resaltan la creciente necesidad de que las organizaciones y las personas se mantengan vigilantes y proactivas en su estrategia de ciberseguridad.

Tendencias

Mas Visto

Cargando...