Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα, προηγμένη καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί ψεύτικες σελίδες CAPTCHA επαλήθευσης για να διανείμει ένα νέο infostealer γραμμένο σε Rust, με την ονομασία EDDIESTEALER.
Η καμπάνια αυτή σηματοδοτεί μια σημαντική εξέλιξη στις τεχνικές κοινωνικής μηχανικής, καθώς οι κυβερνοεγκληματίες εκμεταλλεύονται την εξοικείωση των χρηστών με τις διαδικασίες επαλήθευσης ασφαλείας για να τους παρασύρουν στην εκτέλεση κακόβουλου κώδικα.
Το κακόβουλο λογισμικό χρησιμοποιεί έναν πολύπλοκο μηχανισμό πολυσταδιακής διανομής, ξεκινώντας από παραβιασμένες ιστοσελίδες που προβάλλουν πειστικές οθόνες επαλήθευσης τύπου «Δεν είμαι ρομπότ», οδηγώντας τελικά στη λήψη ενός ισχυρού εργαλείου κλοπής δεδομένων ικανού να αποσπάσει διαπιστευτήρια, πληροφορίες από browsers και λεπτομέρειες από πορτοφόλια κρυπτονομισμάτων.
EDDIESTEALER: Ψεύτικη επαλήθευση Google reCAPTCHA με PowerShell exploit
Η αρχική πρόσβαση πραγματοποιείται μέσω παραβιασμένων ιστοσελίδων που εκτελούν καμουφλαρισμένα JavaScript payloads βασισμένα σε React, τα οποία εμφανίζουν ψεύτικες επαληθεύσεις Google reCAPTCHA.
Οι σελίδες προτρέπουν τους χρήστες να εκτελέσουν μια φαινομενικά αθώα ακολουθία: πατώντας το πλήκτρο Windows + R για άνοιγμα του Run dialog, μετά Ctrl + V για επικόλληση από το clipboard και τέλος Enter.
Αυτό που οι χρήστες αγνοούν είναι πως το JavaScript έχει ήδη αντιγράψει εν αγνοία τους μια εντολή PowerShell στο πρόχειρο μέσω της μεθόδου document.execCommand("copy").
Οι αναλυτές του Elastic Security Labs εντόπισαν αυτήν την απειλή μέσω τηλεμετρικής ανάλυσης, ανακαλύπτοντας ότι το σενάριο «gverify.js», που φορτώνεται από domains όπως hxxps://1111.fit/version/, κατεβάζει το κύριο εκτελέσιμο του EDDIESTEALER με ένα τυχαία παραγόμενο όνομα 12 χαρακτήρων.
Στόχευση ευαίσθητων δεδομένων και παρακάμψεις σύγχρονων μέτρων ασφαλείας
Το EDDIESTEALER δεν περιορίζεται στην απλή κλοπή διαπιστευτηρίων. Στοχεύει ένα ευρύ φάσμα ευαίσθητων δεδομένων, όπως:
- Πορτοφόλια κρυπτονομισμάτων
- Αποθηκευμένα passwords από browsers
- Βάσεις δεδομένων διαχειριστών κωδικών πρόσβασης
- Ρυθμίσεις FTP πελατών
- Εφαρμογές ανταλλαγής μηνυμάτων
Επιπλέον, επιδεικνύει ιδιαίτερη επιδεξιότητα στην παράκαμψη προστασιών κρυπτογράφησης που έχουν εισαχθεί σε νέες εκδόσεις του Chrome, χρησιμοποιώντας τεχνικές όμοιες με το γνωστό ChromeKatz.
Προηγμένες τεχνικές απόκρυψης και επιμονής
Το EDDIESTEALER ενσωματώνει πολλαπλές τεχνικές αποφυγής ανάλυσης, που το καθιστούν ιδιαίτερα δύσκολο στον εντοπισμό και την αποσυναρμολόγηση:
- Κρυπτογράφηση strings με XOR, με μοναδικές συναρτήσεις αποκρυπτογράφησης που βασίζονται σε διευθύνσεις μνήμης και 4-byte σταθερές.
- Δυναμική επίλυση Windows API μέσω custom
LoadLibraryκαιGetProcAddressαντί των κλασικών import tables, αποφεύγοντας detection signatures. - Έλεγχος sandbox με βάση τη φυσική μνήμη (απαιτεί >4 GB για να εκτελεστεί) και προφίλ πελάτη από την πλευρά του διακομιστή, ώστε να αποφευχθεί η εκτέλεση σε περιβάλλοντα ανάλυσης.
- Αυτοδιαγραφή μέσω NTFS Alternate Data Streams, μια τεχνική γνωστή από καμπάνιες του LATRODECTUS, που επιτρέπει την αφαίρεση του εκτελέσιμου από το σύστημα χωρίς να παραβιάζει file locks.
Η εμφάνιση του EDDIESTEALER, ενός κακόβουλου εργαλείου που εκμεταλλεύεται ψεύτικες διεπαφές CAPTCHA για να οδηγήσει σε εκτέλεση PowerShell εντολών και τελικά στη διαρροή ευαίσθητων πληροφοριών, υπογραμμίζει τη διαρκώς αυξανόμενη ευφυΐα και τεχνογνωσία των οργανωμένων ομάδων κυβερνοεγκλήματος.
Οι χρήστες και οι οργανισμοί οφείλουν να είναι ιδιαίτερα προσεκτικοί με σελίδες επαλήθευσης CAPTCHA που απαιτούν μη συνηθισμένες ενέργειες και να εκπαιδεύονται στην αναγνώριση ασυνήθιστων συμπεριφορών από το σύστημα.
Η εξέλιξη της απειλής απαιτεί επίσης επικαιροποιημένα εργαλεία προστασίας, με έμφαση στην ανάλυση συμπεριφοράς και στην ανίχνευση σε βάθος, καθώς τα παραδοσιακά μέτρα είναι πλέον ανεπαρκή.