EDDIESTEALER: новый инфокрад на Rust с обманом CAPTCHA

Новый инфокрад EDDIESTEALER: исследование Elastic Security Labs

Эксперты из Elastic Security Labs подробно описали новый инфокрад под названием EDDIESTEALER, созданный с использованием языка программирования Rust. Вредоносное ПО нацелено на системы Windows и распространяется с помощью поддельных кампаний, имитирующих проверку CAPTCHA. Этот инфокрад раскрывает новые подходы к социальной инженерии и обходу средств защиты, представляя значительную угрозу для новых и неопытных пользователей.

Механизм распространения и заражения

Процесс заражения начинается с вредоносной JavaScript полезной нагрузки, которая моделирует действия с CAPTCHA. Пользователю показываются вводящие в заблуждение страницы, предлагающие выполнить PowerShell-скрипт:

• Вредоносный JavaScript обманывает жертву и предлагает запустить команду PowerShell.
• Скрипт загружает и запускает исполняемый файл EDDIESTEALER с серверов злоумышленников.

После выполнения инфокрад связывается с сервером управления (C2) через HTTP-запросы с множественными POST, что облегчает обнаружение из-за отсутствия HTTPS. Именно сервер C2 передаёт список заданий, определяющих цели атаки и виды собираемых данных.

Основные функции и методы EDDIESTEALER

EDDIESTEALER обладает рядом современных приёмов для скрытного сбора информации и обхода средств защиты:

• Сбор конфиденциальных данных — учетных записей и данных криптовалютных кошельков.
• Использование пользовательского механизма API вызовов и хэш-таблицы для оптимизации функционала.
• Базовые проверки окружения для выявления и обхода изолированных сред и виртуальных машин.
• Метод самоудаления через альтернативные потоки данных NTFS помогает обходить активные блокировки файлов антивирусами.
• Шифрование строк простым XOR-шифром усложняет анализ и обратное проектирование.
• Отложенная инициализация и потокобезопасность с помощью синхронизированных методов для надежного исполнения.

Особенности коммуникации с C2 и шифрование

Коммуникация между инфокрадом и C2 сервером работает в зашифрованном формате и включает:

• Логику сбора системной информации с заражённого устройства.
• Выполнение полученных команд и задач от злоумышленников.

При этом злоумышленники внедрили жёстко закодированные ключи шифрования, что затрудняет перехват и декодирование трафика, повышая устойчивость вредоносного ПО к защите.

Технологические особенности и сложности анализа

Созданный на Rust EDDIESTEALER демонстрирует высокий уровень сложности:

• Использование функций защиты памяти Rust и возможность удаления метаданных затрудняют процесс обратного проектирования.
• Анализ двоичных файлов Rust значительно сложнее по сравнению с традиционными вредоносными программами, написанными на C/C++.

Функционал кражи учетных данных

EDDIESTEALER использует проверенные методы для кражи паролей, включая взаимодействие с браузерами. Среди ключевых возможностей:

• Создание безголового экземпляра Chrome для доступа к менеджеру паролей.
• Извлечение учетных данных в открытом виде из памяти браузера через внутренние функции.

Такой подход демонстрирует прогресс в техниках обхода защитных механизмов и увеличении операционной устойчивости инфокрада.

Выводы

Появление EDDIESTEALER свидетельствует о росте технологической сложности современных инфокрадов и применении новых языков программирования, таких как Rust, для повышения защиты вредоносного кода. Используемые методы социальной инженерии и инновационные механизмы обхода защиты требуют от специалистов по кибербезопасности повышенного внимания и разработки новых методик обнаружения и нейтрализации угроз.

Детальный анализ Elastic Security Labs помогает лучше понять тактики, техники и процедуры, применяемые злоумышленниками, что является ключевым для формирования эффективной защиты от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.