Czyha nowe zagrożenie. Kradnie pieniądze i wszystkie dane z przeglądarki
Na użytkowników internetu czeka nowe, sprytne zagrożenie. Cyberprzestępcy skrywają je pod znanym przez wszystkich mechanizmem.
Cyberprzestępcy wykorzystują nowy, napisany w języku Rust stealer o nazwie EDDIESTEALER, który infekuje komputery poprzez sprytnie zaprojektowane strony z fałszywymi testami CAPTCHA. Kampania, nazywana przez ekspertów "ClickFix", nakłania użytkowników do ręcznego uruchomienia złośliwych skryptów PowerShell, podszywając się pod mechanizm weryfikacji typu "nie jestem robotem".
Według analityków z Elastic Security Labs atakujący atakują legalne strony internetowe, wstrzykując do nich kod JavaScript wyświetlający fałszywe okno CAPTCHA. Ofiary otrzymują instrukcję wykonania trzech kroków: otwarcie okna "Uruchom" w Windows (Windows + R), wklejenie gotowego polecenia i naciśnięcie Enter. W ten sposób uruchamiany jest zaszyfrowany skrypt PowerShell, który pobiera plik "gverify.js", a finalnie również wspominany stealer.
Jak działa malware?
Stealer, napisany w Rust, został zaprojektowany do kradzieży: haseł i plików cookies z przeglądarek (Chrome, Edge, Firefox), danych z portfeli kryptowalutowych (Exodus, Electrum, Coinomi), a także informacji z menedżerów haseł, klientów FTP i komunikatorów (np. Telegram).
EDDIESTEALER dynamicznie pobiera listę zadań z serwera C2, co pozwala operatorom na modyfikację celów ataku w locie
Dane są szyfrowane przed wysłaniem, a malware wykorzystuje niestandardowe mechanizmy łączenia się z API Windows, utrudniając analizę. Chodzi między innymi o:
- Samousunięcie przez strumienie NTFS: Wzorując się na malware'u Latrodectus, EDDIESTEALER wykorzystuje alternatywne strumienie danych systemu plików NTFS, aby usunąć się z dysku bez pozostawiania śladów.
- Obejście zabezpieczeń Chrome: Dzięki implementacji narzędzia ChromeKatz w Rust, stealer potrafi odczytać niezaszyfrowane dane z pamięci przeglądarki, nawet jeśli ta nie jest uruchomiona. W tym celu tworzy ukryte okno przeglądarki z parametrem --window-position=-3000,-3000, niewidoczne dla użytkownika.
- Kod odporny na analizę: Usunięcie symboli debugowania, szyfrowanie stringów oraz dynamiczne rozwiązywanie funkcji WinAPI to tylko niektóre metody utrudniające badanie malware'u.
Jak się chronić?
Eksperci zalecają, aby unikać uruchamiania poleceń z nieznanych stron, nawet jeśli wydają się związane ze znanymi nam mechanizmami, w tym CAPTCHA. Warto też regularnie aktualizować przeglądarkę, aby zwiększać bezpieczeństwo swoich danych. Kluczowe jest również włączenie wszędzie uwierzytelnienia wieloskładnikowego, dzięki czemu — nawet na wypadek kradzieży hasła — oszuści nie będą w stanie dostać się na nasze konto, a przynajmniej będzie to mocno utrudnione.
