EDDIESTEALER: Diskretni kradljivac informacija

AUTOR ·

Novootkriveni EDDIESTEALER zlonamjerni softver privukao je značajnu pažnju u zajednici sajber bezbjednosti, a sigurnosni stručnjaci iz Elastic Security Labs upozoravaju na njegov potencijal da izazove značajnu štetu. Ovaj zlonamjerni program koristi obmanjujuće CAPTCHA stranice za verifikaciju kako bi se prevarile žrtve da pokrenu zlonamjernu PowerShell skriptu koji može ugroziti osjetljive podatke na Windows uređajima.

EDDIESTEALER

EDDIESTEALER: Diskretni kradljivac informacija; Source: Bing Image Creator

EDDIESTEALER

EDDIESTEALER je zlonamjerni softver napisan u programskom jeziku Rust, koji koristi napredne tehnike prikrivanja kako bi izbjegao otkrivanje i analizu. Ovaj zlonamjerni softver je usmjeren na određene podatke kao što su kripto novčanici, informacije o internet pregledaču, menadžerima lozinki i aplikacijama za razmjenu poruka. Takođe koristi taktike protiv analize na strani servera, zadržavajući konfiguracije ako se sumnja na prisustvo izolovanih okruženja (eng. sandbox), dok koristi unaprijed definisano šifrovanje za komunikaciju i opsežno ugrađivanje funkcija kako bi prikrio tok kontrole.

 

Funkcionisanje

Napad počinje tako što korisnici naiđu na lažni ekran za verifikaciju “Ja nisam robot” (eng. I'm not a robot) na kompromitovanim internet lokacijama, koji pokreće zamaskirani JavaScript sadržaj zasnovan na React biblioteci. Na prvi pogled, ovo može izgledati dovoljno bezopasno; međutim, skripta kopira zlonamjernu PowerShell komandu u međuspremnik (eng. clipboard) tražeći od korisnika da je nalijepe i izvrše preko Windows dijaloga za pokretanje (Windows + R, Ctrl + V, Enter). Ova pametna taktika društvenog inženjeringa iskorištava povjerenje korisnika i poznavanje internet pregledača, što otežava otkrivanje čak i iskusnim korisnicima. Komanda preuzima JavaScript sadržaj druge faze sa domena kojim upravlja zlonamjerni akter, snimajući ga u direktorijum “Preuzimanja” (eng. Downloads) korisnika pre nego što ga izvrši u skrivenom prozoru pomoću cscript alata.

Ova skripta dalje preuzima izvršnu datoteku EDDIESTEALER sa domena kojim upravlja zlonamjerni akter, čuvajući je sa pseudoslučajnim imenom datoteke od 12 karaktera. Nakon izvršavanja, EDDIESTEALER koristi napredne tehnike prikrivanja poput XOR šifrovanih nizova, prilagođene mehanizme za rješavanje WinAPI funkcija i uklonjene simbole funkcija, što otežava statičku analizu. Ovaj nivo sofisticiranosti čini sve težim za tradicionalne sisteme za detekciju prijetnji da identifikuju zlonamjerni softver, omogućavajući zlonamjernim akterima da budu korak ispred.

 

Komunikacija i konfiguracija

EDDIESTEALER komunicira sa svojim C2 serverom koristeći jednostavan, ali efikasan pristup: HTTP GET zahteve. Ovaj metod omogućava zlonamjernom softveru da preuzme šifrovane konfiguracione podatke bez izazivanja sumnje kod bezbjednosnog softvera ili ljudskih analitičara. Šifrovanje koje se koristi u ovom procesu je Advanced Encryption Standard – AES, koje pruža robusnu zaštitu za osjetljive informacije. Šifrovanjem konfiguracionih podataka, EDDIESTEALER obezbjeđuje da čak i ako sigurnosni analitičari dobiju pristup komunikacionom kanalu, neće moći da dešifruju komunikaciju. Sami podaci o konfiguraciji sadrže listu zadataka koji ciljaju određene tipove podataka na zaraženim sistemima. To uključuje:

  • Kripto novčanici: Armory, Bitcoin, WalletWasabi, Daedalus, Mainnet, Coinomi, Electrum, Exodus, DashCore, ElectronCash, ElectrumDASH, Guarda i Atomic;
  • Internet pregledači: Microsoft Edge, Brave, Google Chrome i Mozilla Firefox;
  • Menadžeri lozinki: Bitwarden, 1Password i KeePass;
  • FTP klijenti: FileZilla, FTP Manager Lite, FTPbox, FTP Commander Deluxe, Auto FTP Manager, 3D-FTP, FTPGetter i Total Commander;
  • Aplikacije za razmjenu poruka: Telegram Desktop.

Ovaj raznovrstan raspon ciljeva čini EDDIESTEALER zlonamjerni softver ozbiljnom prijetnjom kako pojedincima tako i organizacijama. Kompromitujući ove tipove podataka, zlonamjerni akteri mogu dobiti pristup osjetljivim informacijama, poremetiti poslovne operacije ili čak izvrše krađu vrijedne imovine.

 

Mogućnosti samobrisanja i taktike protiv analize

Pored svojih komunikacionih metoda, EDDIESTEALER se može pohvaliti mogućnostima samobrisanja. Ovaj mehanizam za samobrisanje je svjedočanstvo prilagodljivosti i otpornosti zlonamjernog softvera u odnosu na evoluirajuće tehnike otkrivanja prijetnji. Primljenom ove taktike, EDDIESTEALER može efikasno da se ukloni iz zaraženih sistema, što otežava bezbjednosnim analitičarima da proučavaju njegovo ponašanje.

Novije varijante EDDIESTEALER zlonamjernog softvera su napravile korak dalje od mogućnosti samobrisanja uključivanjem taktike protiv analize na strani servera. Ove novije verzije zadržavaju konfiguracije ako sumnjaju da sistem radi u izolovanom okruženju. Ovaj pristup osigurava da čak i ako sigurnosni istraživači pokušaju da analiziraju zlonamjerni softver, neće otkriti njegove prave namjere. Ova funkcija koristi preimenovanje alternativnih tokova podataka NTFS da bi se izbjeglo otkrivanje i provjere izolovanih okruženja na osnovu pragova fizičke memorije (iznad ~4 GB).

Štaviše, ove varijante koriste i unaprijed definisane AES ključeve za komunikaciju i opsežnu funkciju koja je umetnuta u nejasne kontrole toka. Umetanje funkcija uključuje kombinovanje više funkcija u jednu, što otežava bezbjednosnom softveru da identifikuje specifična zlonamjerna ponašanja.

 

Sposobnosti specifične za Chromium

EDDIESTEALER mogućnosti se protežu dalje od puke eksfiltracije podataka, one takođe uključuju sofisticirane tehnike inspirisane alatima kao što je ChromeKatz. Ovo omogućava EDDIESTEALER zlonamjernom softveru da izvuče osjetljive informacije iz zaraženih sistema koristeći instance pretraživača van ekrana ili DevTools protokol.

Zlonamjerni softver može da pokrene instance internet pregledača van ekrana, što mu omogućava da pristupi i ukrade akreditive bez izazivanja sumnje. Pored toga, EDDIESTEALER koristi DevTools protokol da zaobiđe zaštitu šifrovanja vezanu za aplikaciju. Ovaj protokol omogućava programerima da pregledaju i modifikuju sadržaj internet stranice u realnom vremenu; međutim, kada je u pitanju EDDIESTEALER, ova mogućnost se može iskoristiti u zlonamjerne svrhe.

EDDIESTEALER mogućnosti specifične za Chromium demonstriraju sofisticiran pristup eksfiltraciji podataka. Koristeći snagu tehnika inspirisanih ChromeKatz zlonamjernim alatom, zlonamjerni akteri mogu da pristupe osjetljivim informacijama koje bi inače ostale bezbjedne.

 

UTICAJ

Pojava i širenje EDDIESTEALER zlonamjernog softvera ima značajan uticaj na pojedince i organizacije. Ovaj zlonamjerni kradljivac informacija, prikriven kao CAPTCHA stranica za verifikaciju, dizajniran je da prevari korisnike i navede ih da pokrenu PowerShell skriptu koja na kraju dovodi do postavljanja ovog zlonamjernog softvera na kompromitovanim sistemima.

Kako EDDIESTEALER dobija na popularnosti, vjerovatno će izazvati široko rasprostranjene poremećaje u različitim sektorima. Činjenica da koristi Rust programski jezik za svoj razvoj odražava rastući trend među zlonamjernim akterima koji žele da iskoriste karakteristike modernih jezika za poboljšanu prikrivenost i otpornost na tradicionalne tokove rada analize i mehanizme za otkrivanje prijetnji. Ovaj pomak ka korišćenju sofisticiranijih programskih jezika čini EDDIESTEALER posebno teškim za otkrivanje, jer često zahteva posvećene analitičke napore u poređenju sa zlonamjernim softverom napisanim u C/C++ programskom okruženju. Inherentne teškoće u analizi binarnih datoteka bezbjednih za memoriju dodatno komplikuju proces identifikacije ovog kradljivca informacija.

Sposobnost EDDIESTEALER zlonamjernog softvera da izbjegne otkrivanje i njegov potencijal za široko širenje predstavljaju značajne rizike. Jednom kada se pokrene na kompromitovanom sistemu, EDDIESTEALER može da prikuplja osjetljive podatke kao što su podaci za prijavu, informacije o internet pregledaču i detalji o kriptovalutnom novčaniku, a da ne bude otkriven. Ova mogućnost mu omogućava da ostane neotkriven tokom dužeg perioda, tokom kojeg vremena zlonamjerni softver može da nastavi da prikuplja vrijedne obavještajne podatke koji bi mogli biti korišćeni u zlonamjerne svrhe.

Uticaj EDDIESTEALER zlonamjernog softvera na pojedince ne može se precijeniti. Kada ih ovaj kradljivac informacija ugrozi, korisnici mogu biti ranjivi na niz zlonamjernih aktivnosti, uključujući krađu identiteta, finansijsku eksploataciju i druge oblike sajber kriminala. Činjenica da EDDIESTEALER može da prikuplja osjetljive podatke kao što su podaci za prijavu i detalji o kriptovalutnim novčanicima čini ga posebno zabrinjavajućim.

Potencijalni uticaj EDDIESTEALER zlonamjernog softvera na organizacije je takođe značajan. Kako se ovaj kradljivac informacija nastavlja širiti, preduzeća se mogu suočiti sa povećanim rizicima vezanim za ugrožavanje podataka, krađu intelektualne svojine i druge oblike sajber kriminala. Činjenica da EDDIESTEALER može da prima liste zadataka sa svog C2 servera, identifikujući specifične ciljeve, dodatno naglašava potrebu da organizacije ostanu budne u svojim naporima da otkriju i spriječe ovaj zlonamjerni softver.

Upotreba lažnih CAPTCHA kampanja kao sredstva za distribuciju EDDIESTEALER zlonamjernog softvera takođe ističe važnost edukacije korisnika. Kako pojedinci postaju sve svjesniji ovih taktika, veća je vjerovatnoća da će biti oprezni kada imaju interakciju sa internet sistemima koji djeluju sumnjivo ili zlonamjerno. Međutim, čak i sa povećanom svešću, korisnici i dalje mogu postati žrtve sofisticiranih napada društvenog inženjeringa.

Uticaj EDDIESTEALER zlonamjernog softvera na sajber bezbjednost je višestruk i dalekosežan. Kako se ovaj krađa informacija nastavlja razvijati i prilagođavati, vjerovatno će biti sve teže otkriti i spriječiti njegovo širenje. Potreba da pojedinci i organizacije ostanu budni u svojim naporima da se zaštite od infekcija EDDIESTEALER zlonamjernog softvera ne može se zanemariti.

 

ZAKLJUČAK

Pojava EDDIESTEALER zlonamjernog softvera označava značajan razvoj u oblasti evolucije zlonamjernog softvera, posebno u pogledu usvajanja Rust programskog okruženja za poboljšanu prikrivenost i otpornost na tradicionalne analitičke tokove rada.

Lanac izvršenja EDDIESTEALER zlonamjernog softvera počinje lažnom CAPTCHA kampanjom koja obmanjuje korisnike da izvršavaju zlonamjerne PowerShell skripte. Ova skripta zatim preuzima dodatne korisne podatke sa domena koje kontroliše protivnik pre nego što konačno rasporedi izvršnu datoteku EDDIESTEALER zlonamjernog softvera. Zlonamjerni softver koristi napredne tehnike prekrivanje kao što su XOR šifrovani nizovi i prilagođeni mehanizmi za rješavanje WinAPI okruženja kako bi komplikovali statičku analizu.

Jedan od ključnih zaključaka je da lažni CAPTCHA testovi služe ne samo kao kapije za zlonamjerni softver, već i kao alati društvenog inženjeringa dizajnirani da obmane korisnike da izvršavaju zlonamjerne skripte. Ove konstrukcije se često pojavljuju kao upiti poput “Ja nisam robot”, besprijekorno se uklapajući u kompromitovane internet stranice ili phishing kampanje.

Komunikacija EDDIESTEALER zlonamjernog softvera sa njegovim komandno-kontrolnim (C2) serverom olakšana je putem HTTP GET zahteva, koji preuzimaju AES šifrovane podatke o konfiguraciji koji uključuju liste zadataka usmjerene na određene vrste osjetljivih informacija. Ovo može da uključuje kripto novčanike , informacije o internet pregledačima, menadžere lozinki i aplikacije za razmjenu poruka.

Zlonamjerni softver takođe ima mogućnosti samobrisanja kako bi izbjegao otkrivanje i provjere izolovanog okruženja na osnovu pragova fizičke memorije iznad ~4GB. Primjetno je da novije varijante EDDIESTEALER zlonamjernog softvera pokazuju taktike protiv analize na strani servera tako što zadržavaju konfiguracije ako se sumnja na izolovano okruženje, dok koriste unaprijed definisane AES ključeve za komunikaciju.

Na kraju, važno je imati na umu da zlonamjerni akteri usvajanjem Rust programskog okruženja u razvoju EDDIESTEALER zlonamjernog softvera odražava rastući trend među zlonamjernim akterima koji žele da iskoriste karakteristike modernih jezika za poboljšanu prikrivenost i otpornost na tradicionalne tokove rada analize. Ovaj pomak ka naprednom zlonamjernom softveru zahteva posvećene napore stručnjaka za bezbjednost kako bi ostali ispred novih prijetnji.

 

ZAŠTITA

Da bi se efikasno suprotstavili krađi informacija od strane EDDIESTEALER zlonamjernog softvera, neophodan je višeslojni pristup. Evo nekoliko preporuka za zaštitu:

  1. Redovno ažurirati operativne sisteme, internet pregledače i drugi softver kako bi se ispravile ranjivosti koje bi zlonamjerni akteri mogli da iskoriste koristeći EDDIESTEALER zlonamjerni softver ili slične prijetnje;
  2. Instalirati i održavati pouzdan antivirusni softver sposoban da otkrije i ukloni zlonamjerni softver poput EDDIESTEALER zlonamjernog softvera, koji koristi tehnike izbjegavanja koje tradicionalnim mehanizmima za otkrivanje prijetnji otežavaju identifikaciju;
  3. Izbjegavati sumnjive internet stranice, posebno one koje bi mogle da podstiču korisnike da izvršavaju PowerShell komande ili druge skripte bez jasnog konteksta. Umjesto toga, odlučiti se za renomirane izvore prilikom pristupa informacijama na mreži;
  4. Zaštititi podatke za prijavu od krađe korištenjem jedinstvenih, složenih lozinki u kombinaciji sa autentifikacijom u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće na nalozima visokog rizika kao što su bankarske berze ili berze kriptovaluta;
  5. Redovno pregledajti izvode za sve sumnjive transakcije. Ova budnost može pomoći u ranom identifikovanju potencijalnih infekcija EDDIESTEALER zlonamjernim softverom i sprečavanju dalje finansijske štete;
  6. Koristiti proširenja za internet pregledače kao što su uBlock Origin, HTTPS Everywhere i NoScript kako bi se blokiralo pokretanje zlonamjernih skripti na internet lokacijama koje mogu biti ugrožene od strane zlonamjernih aktera koji koriste EDDIESTEALER kradljivac podataka ili slične prijetnje;
  7. Prilikom korištenja javnih Wi-Fi mreža ili drugih neobezbijeđenih veza, razmisliti o korišćenju virtuelne privatne mreže (eng. virtual private network – VPN) za šifrovanje internet saobraćaja i sprečavanje potencijalnih napada prisluškivanja koje olakšava zlonamjerni softver poput EDDIESTEALER zlonamjernog softvera;
  8. Uvjeriti se da se osjetljive informacije bezbjedno čuvaju u rezervnim kopijama na eksternom disku ili usluzi za skladištenje u oblaku. Ova mjera predostrožnosti može pomoći u ublažavanju uticaja potencijalnih ugrožavanja podataka izazvanih infekcijama EDDIESTEALER zlonamjernim softverom;
  9. Razvijati i redovno testirati plan odgovora na sajber prijetnju, uključujući one koje potencijalno pokreće zlonamjerni softver EDDIESTEALER i slične prijetnje, osiguravajući brze reakcije za suzbijanje i sanaciju kada je to potrebno;
  10. Obezbijediti redovne obuke ili radionice za zaposlene o najboljim praksama sajber bezbjednosti, naglašavajući rizike povezane sa lažnim CAPTCHA testovima, sumnjivim skriptama i drugim taktikama koje se koriste za širenje zlonamjernog softvera poput EDDIESTEALER kradljivca informacija;
  11. Podesiti internet pregledače da blokiraju zlonamjerni sadržaj omogućavanjem funkcija kao što su Google Chrome – Safe Browsing; Mozilla FirefoxEnhanced Tracking Protection Strict mode i HTTPS-Only Mode; BraveSafe Browsing ili Opera VPN i Tracker Blocker. Ova podešavanja ponekad mogu pomoći u sprečavanju izvršavanja štetnih skripti na ugroženim internet lokacijama;
  12. Podijeliti mreže na izolovane segmente, kontrolišući pristup na osnovu principa najmanjih privilegija. Ovaj pristup ograničava potencijalnu štetu od infekcija zlonamjernim softverom poput EDDIESTEALER zlonamjernog softvera ograničavanjem bočnog kretanja unutar mreže;
  13. Kontinuirano pratiti izvještaje o bezbjednosnim istraživanjima iz renomiranih izvora kako bi se ostalo u toku sa novim varijantama i taktikama zlonamjernog softvera. Ovo znanje omogućava proaktivne mjere protiv stalnih internet prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.