كشفت حملة برمجيات خبيثة جديدة عن EDDIESTEALER ، وهو برنامج سرقة معلومات مكتوب بلغة Rust ، يتم توزيعه عبر هجمات ClickFix ، والتي تعتمد على صفحات تحقق CAPTCHA زائفة لخداع المستخدمين.
يستخدم القراصنة صفحات تحقق CAPTCHA وهمية لخداع المستخدمين وتشغيل سكريبت PowerShell خبيث ، مما يؤدي في النهاية إلى نشر البرمجية وجمع بيانات حساسة مثل بيانات تسجيل الدخول، معلومات المتصفح، ومحافظ العملات الرقمية.
و تبدأ سلسلة الهجوم باختراق مواقع إلكترونية شرعية، ثم إدخال أكواد JavaScript ضارة لإنشاء صفحات CAPTCHA زائفة تطلب من المستخدمين “إثبات أنهم ليسوا روبوتات” عبر خطوات تشغيلية، تتضمن فتح نافذة “تشغيل” (Run) ولصق كود مخفي ثم الضغط على زر “إدخال”.
– بمجرد تنفيذ الأمر PowerShell ، يتم جلب حمولة خبيثة إضافية من خادم خارجي وتحميلها على جهاز الضحية.
ويتم حفظ الملف الضار gverify.js داخل مجلد التنزيلات وتشغيله بشكل مخفي باستخدام cscript ، بهدف تنزيل EDDIESTEALER وتخزينه باسم عشوائي من 12 حرفًا.
قدرات EDDIESTEALER:
– يجمع بيانات النظام ويستقبل أوامر من خادم التحكم والسيطرة (C2) ، ثم يقوم بسرقة معلومات حساسة ، تشمل محافظ العملات الرقمية، المتصفحات، مديرات كلمات المرور، عملاء FTP، وتطبيقات المراسلة.
– يستخدم خوارزميات تشفير لضمان التواصل الآمن بين الجهاز المصاب والخادم C2.
– يتحقق مما إذا كان يعمل داخل بيئة معزولة (sandbox) ، وإذا كان كذلك، يقوم بحذف نفسه تلقائيًا.
– لديه القدرة على تجاوز تشفير تطبيق Chrome للوصول إلى بيانات غير مشفرة، مثل ملفات الكوكيز ، عبر دمج أداة ChromeKatz ، وهي أداة مفتوحة المصدر لاستخراج بيانات تسجيل الدخول من متصفحات Chromium.
– ينشئ مثيل متصفح Chrome جديدًا مخفيًا عبر تشغيل نافذة في موضع غير مرئي باستخدام الأمر:
–window-position=-3000,-3000 https://google.com
مما يتيح له قراءة ذاكرة العمليات المرتبطة بخدمة الشبكة في Chrome واستخراج بيانات الاعتماد.
الاتجاهات الجديدة في برمجيات السرقة:
– كشف تحليل حديث عن نسخ محسّنة من EDDIESTEALER قادرة على جمع معلومات حول العمليات النشطة، بيانات وحدة GPU، عدد أنوية المعالج، واسم ورمز المعالج.
– تستخدم الإصدارات المحدثة مفتاح تشفير ثابت للتواصل بين العميل والخادم، بدلاً من جلبه ديناميكيًا.
– تعتمد على تشغيل Chrome باستخدام remote-debugging-port عبر WebSocket للتحكم بالمتصفح دون تدخل المستخدم.
