Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

EDDIESTEALER: новый инфокрад на Rust с обманом CAPTCHA

3 мин
Эксперты из Elastic Security Labs подробно описали новый инфокрад под названием EDDIESTEALER, созданный с использованием языка программирования Rust. Вредоносное ПО нацелено на системы Windows и распространяется с помощью поддельных кампаний, имитирующих проверку CAPTCHA. Этот инфокрад раскрывает новые подходы к социальной инженерии и обходу средств защиты, представляя значительную угрозу для новых и неопытных пользователей. Процесс заражения начинается с вредоносной JavaScript полезной нагрузки, которая моделирует действия с CAPTCHA. Пользователю показываются вводящие в заблуждение страницы, предлагающие выполнить PowerShell-скрипт: После выполнения инфокрад связывается с сервером управления (C2) через HTTP-запросы с множественными POST, что облегчает обнаружение из-за отсутствия HTTPS. Именно сервер C2 передаёт список заданий, определяющих цели атаки и виды собираемых данных. EDDIESTEALER обладает рядом современных приёмов для скрытного сбора информации и обхода средств защиты: Комму
Оглавление
Источник: www.elastic.co
Источник: www.elastic.co

Новый инфокрад EDDIESTEALER: исследование Elastic Security Labs

Эксперты из Elastic Security Labs подробно описали новый инфокрад под названием EDDIESTEALER, созданный с использованием языка программирования Rust. Вредоносное ПО нацелено на системы Windows и распространяется с помощью поддельных кампаний, имитирующих проверку CAPTCHA. Этот инфокрад раскрывает новые подходы к социальной инженерии и обходу средств защиты, представляя значительную угрозу для новых и неопытных пользователей.

Механизм распространения и заражения

Процесс заражения начинается с вредоносной JavaScript полезной нагрузки, которая моделирует действия с CAPTCHA. Пользователю показываются вводящие в заблуждение страницы, предлагающие выполнить PowerShell-скрипт:

  • Вредоносный JavaScript обманывает жертву и предлагает запустить команду PowerShell.
  • Скрипт загружает и запускает исполняемый файл EDDIESTEALER с серверов злоумышленников.

После выполнения инфокрад связывается с сервером управления (C2) через HTTP-запросы с множественными POST, что облегчает обнаружение из-за отсутствия HTTPS. Именно сервер C2 передаёт список заданий, определяющих цели атаки и виды собираемых данных.

Основные функции и методы EDDIESTEALER

EDDIESTEALER обладает рядом современных приёмов для скрытного сбора информации и обхода средств защиты:

  • Сбор конфиденциальных данных — учетных записей и данных криптовалютных кошельков.
  • Использование пользовательского механизма API вызовов и хэш-таблицы для оптимизации функционала.
  • Базовые проверки окружения для выявления и обхода изолированных сред и виртуальных машин.
  • Метод самоудаления через альтернативные потоки данных NTFS помогает обходить активные блокировки файлов антивирусами.
  • Шифрование строк простым XOR-шифром усложняет анализ и обратное проектирование.
  • Отложенная инициализация и потокобезопасность с помощью синхронизированных методов для надежного исполнения.

Особенности коммуникации с C2 и шифрование

Коммуникация между инфокрадом и C2 сервером работает в зашифрованном формате и включает:

  • Логику сбора системной информации с заражённого устройства.
  • Выполнение полученных команд и задач от злоумышленников.

При этом злоумышленники внедрили жёстко закодированные ключи шифрования, что затрудняет перехват и декодирование трафика, повышая устойчивость вредоносного ПО к защите.

Технологические особенности и сложности анализа

Созданный на Rust EDDIESTEALER демонстрирует высокий уровень сложности:

  • Использование функций защиты памяти Rust и возможность удаления метаданных затрудняют процесс обратного проектирования.
  • Анализ двоичных файлов Rust значительно сложнее по сравнению с традиционными вредоносными программами, написанными на C/C++.

Функционал кражи учетных данных

EDDIESTEALER использует проверенные методы для кражи паролей, включая взаимодействие с браузерами. Среди ключевых возможностей:

  • Создание безголового экземпляра Chrome для доступа к менеджеру паролей.
  • Извлечение учетных данных в открытом виде из памяти браузера через внутренние функции.

Такой подход демонстрирует прогресс в техниках обхода защитных механизмов и увеличении операционной устойчивости инфокрада.

Выводы

Появление EDDIESTEALER свидетельствует о росте технологической сложности современных инфокрадов и применении новых языков программирования, таких как Rust, для повышения защиты вредоносного кода. Используемые методы социальной инженерии и инновационные механизмы обхода защиты требуют от специалистов по кибербезопасности повышенного внимания и разработки новых методик обнаружения и нейтрализации угроз.

Детальный анализ Elastic Security Labs помогает лучше понять тактики, техники и процедуры, применяемые злоумышленниками, что является ключевым для формирования эффективной защиты от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "EDDIESTEALER: новый инфокрад на Rust с обманом CAPTCHA".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.