Een nieuwe malware-campagne distribueert een nieuwe op roest gebaseerde informatie-stealer genaamd Eddiestealer met behulp van de populaire ClickFix Social Engineering Tactic geïnitieerd via nep-captcha-verificatiepagina’s.
“Deze campagne maakt gebruik van misleidende captcha -verificatiepagina’s die gebruikers misleiden om een kwaadaardig PowerShell -script uit te voeren, dat uiteindelijk de infostealer inzet, die gevoelige gegevens zoals inloggegevens, browserinformatie en cryptocurrency -portemonnee -details inzag,” zei onderzoeker van Elastische beveiligingslaboratoria Jia Yu Chan in een analyse.
De aanvalsketens beginnen met dreigingsacteurs die legitieme websites in gevaar brengen met kwaadaardige JavaScript-payloads die nep-captcha-chequepagina’s bedienen, die bezoekers van de site ertoe aanzetten “te bewijzen dat u geen (a) robot bent” door een driestapsproces te volgen, een heersende tactiek genaamd ClickFix.
Dit omvat het instrueren van het potentiële slachtoffer om de Windows Run -dialoogvenster te openen, een reeds gekopieerde opdracht te plakken in het “Verificatieversie” (dwz het dialoogvenster Run) en druk op Enter. Dit zorgt ervoor dat het Obfuscated PowerShell-opdracht wordt uitgevoerd, wat resulteert in het ophalen van een payload van de volgende fase van een externe server (“Llll (.) Fit”).
De JavaScript -payload (“gverify.js”) wordt vervolgens opgeslagen in de map Downloads van de slachtoffer en wordt uitgevoerd met behulp van CSCRIPT in een verborgen venster. Het hoofddoel van het tussenliggende script is om de Eddiestealer Binary van dezelfde externe server op te halen en op te slaan in de downloadmap met een pseudorandom 12-tekens bestandsnaam.
Eddiestealer, geschreven in Rust, is een grondstofstealer-malware die systeemmetadata kan verzamelen, taken ontvangt van een command-and-control (C2) -server en siphon-gegevens van interesse van de geïnfecteerde host. De exfiltratiedoelen omvatten cryptocurrency -portefeuilles, webbrowsers, wachtwoordbeheerders, FTP -clients en berichten -apps.
“Deze doelen kunnen worden gewijzigd omdat ze door de C2 -operator worden geconfigureerd,” legde Elastic uit. “Eddiestealer leest vervolgens de gerichte bestanden met behulp van standaard kernel32.dll -functies zoals CreateFilew, GetFileSizeEx, ReadFile en CloseHandle.”
De verzamelde host -informatie wordt gecodeerd en verzonden naar de C2 -server in een afzonderlijk HTTP -postverzoek na de voltooiing van elke taak.
Naast het opnemen van stringcodering, maakt de malware gebruik van een aangepast Winapi -opzoekmechanisme voor het oplossen van API -oproepen en maakt een mutex om ervoor te zorgen dat slechts één versie op elk willekeurig moment wordt uitgevoerd. Het bevat ook cheques om te bepalen of het wordt uitgevoerd in een sandbox -omgeving, en zo ja, verwijdert zichzelf uit schijf.
“Gebaseerd op een soortgelijke zelf-deletie-techniek waargenomen in LatroDectus, is Eddiestealer in staat zichzelf te verwijderen via NTFS alternatieve gegevensstromen die hernoemen, om bestandsloten te omzeilen,” merkte Elastic op.
Een andere opmerkelijke functie ingebouwd in de Stealer is het vermogen om de app-gebonden codering van Chromium te omzeilen om toegang te krijgen tot niet-gecodeerde gevoelige gegevens, zoals cookies. Dit wordt bereikt door een roestimplementatie van Chromekatz op te nemen, een open-source tool die cookies en referenties kan dumpen uit het geheugen van op chroom gebaseerde browsers.
De roestversie van Chromekatz bevat ook wijzigingen om scenario’s te verwerken waarbij de beoogde chroombrowser niet wordt uitgevoerd. In dergelijke gevallen ontstaat het een nieuwe browserinstantie met behulp van de opdrachtregelargumenten “–Window-Position = -3000, -3000 https://google.com,” het nieuwe venster ver van het scherm positief positief en zijn onzichtbaar voor de gebruiker.
Bij het openen van de browser is het doel om de malware in staat te stellen het geheugen te lezen dat is geassocieerd met het Network Service Child Process of Chrome dat wordt geïdentificeerd door de “-utility-sub-type = Network.mojom.networkservice” vlag en uiteindelijk de geloofsbrieven extraheren.
Elastic zei dat het ook bijgewerkte versies van de malware identificeerde met functies om lopende processen, GPU -informatie, aantal CPU -cores, CPU -naam en CPU -leverancier te oogsten. Bovendien passen de nieuwe varianten het C2 -communicatiepatroon aan door de hostinformatie preventief naar de server te verzenden voordat de taakconfiguratie wordt ontvangen.
Dat is niet alles. De coderingssleutel die wordt gebruikt voor client-tot-servercommunicatie is hard gecodeerd in het binaire getal, in tegenstelling tot het dynamisch ophalen van de server. Bovendien is de Stealer gevonden om een nieuw Chrome-proces te starten met de–Remote-Debugging-Port =
“Deze goedkeuring van roest in de ontwikkeling van malware weerspiegelt een groeiende trend bij dreigingsactoren die moderne taalfuncties willen benutten voor verbeterde stealth, stabiliteit en veerkracht tegen traditionele analyseworkflows en motoren voor dreigingsdetectie,” zei het bedrijf.
De openbaarmaking wordt geleverd wanneer C/Side details onthulde van een ClickFix-campagne die zich richt op meerdere platforms, zoals Apple MacOS, Android en iOS, met behulp van technieken zoals browsergebaseerde omstandigheden, nep-UI-prompts en drive-by downloadtechnieken.
De aanvalsketen begint met een verdoezeld JavaScript dat op een website is gehost, dat wanneer bezocht bij MacOS een reeks omleidingen initieert naar een pagina die slachtoffers begeleidt om Terminal te lanceren en een shell -script uit te voeren, dat leidt tot het downloaden van een Stealer -malware die is gemarkeerd op Virustotal als de atomische macos -stealer (AMOS).
Dezelfde campagne is echter geconfigureerd om een drive-by downloadschema te starten bij het bezoeken van de webpagina van een Android-, iOS- of Windows-apparaat, wat leidt tot de implementatie van een andere Trojan-malware.
De openbaarmakingen vallen samen met de opkomst van nieuwe Stealer -malwarefamilies zoals Katz Stealer en AppleProcessHub Stealer die zich respectievelijk richten op ramen en macOS, en zijn in staat om een breed scala aan informatie van geïnfecteerde gastheren te oogsten, volgens Nextron en Kandji.
Katz Stealer is, net als Eddiestealer, ontworpen om de app-gebonden codering van Chrome te omzeilen, maar op een andere manier door DLL-injectie te gebruiken om de coderingssleutel te verkrijgen zonder beheerdersprivileges en deze te gebruiken om gecodeerde cookies en wachtwoorden van chroom-gebaseerde browsers te decoderen.
“Aanvallers verbergen kwaadaardig JavaScript in GZIP -bestanden, die, wanneer geopend, de download van een PowerShell -script activeren,” zei Nextron. “Dit script haalt een .NET-gebaseerde lader-lading op, die de Stealer in een legitiem proces injecteert. Eenmaal actief, exfiltreert het gestolen gegevens naar de opdracht- en besturingsserver.”
AppleProcessHub Stealer is daarentegen ontworpen om gebruikersbestanden te exfiltreren, waaronder Bash History, ZSH History, GitHub -configuraties, SSH -informatie en iCloud -sleutelhanger.
Attack-sequenties die de malware distribueren, brengen het gebruik van een mach-o binair dat een tweede fase BASH Stealer-script van de server “AppleProcessHub (.) Com” downloadt en voert het uit, waarvan de resultaten vervolgens terug worden geëxfiltreerd naar de C2-server. Details van de malware werden voor het eerst gedeeld door het MalwareHunterteam op 15 mei 2025, en vorige week door Macpaw’s Moonlock Lab.
“Dit is een voorbeeld van een Mach-O geschreven in Objective-C die communiceert met een opdracht- en controleserver om scripts uit te voeren,” zei Kandji-onderzoeker Christopher Lopez.
