EDDIESTEALER kenkėjiška programa: ko tikėtis iš šios sudėtingos grėsmės
Table of Contents
Dar viena kibernetinių įsilaužimų banga
Dar viena kenkėjiškos programos atmaina, vadinama EDDIESTEALER, puikuojasi kibernetinio saugumo bendruomenės antraštėse. Ši kenkėjiška programinė įranga, sukurta naudojant šiuolaikinę „Rust“ programavimo kalbą , yra naujas kibernetinių nusikaltėlių metodas, kuriuo siekiama pavogti neskelbtiną informaciją iš nieko neįtariančių vartotojų. Ši kampanija pasitelkia socialinę inžineriją per suklastotus CAPTCHA patvirtinimo puslapius – gudrią ir apgaulingą techniką.
Kaip veikia EDDIESTEALER
Užkrėtimas prasideda, kai kibernetiniai užpuolikai įsilaužia į teisėtas svetaines, įterpdami kenkėjišką „JavaScript“ kodą. Kai lankytojas patenka į tokią pažeistą svetainę, jam pateikiamas netikras CAPTCHA patikrinimas, prašantis įrodyti, kad jis nėra robotas. Šis metodas, žinomas kaip „ClickFix“ taktika, veda vartotojus per, atrodytų, nekenksmingą trijų žingsnių patvirtinimo procesą.
Tačiau šis procesas yra spąstai. Jis nurodo vartotojams nukopijuoti komandą ir įklijuoti ją į „Windows“ dialogo langą „Vykdyti“. Tai netyčia suaktyvina „PowerShell“ scenarijų, kuris iš išorinio serverio nuskaito papildomą informaciją. Scenarijus atsisiunčia failą, vadinamą „gverify.js“, ir vykdo jį fone. Pagrindinė šio scenarijaus užduotis – nuskaityti patį EDDIESTEALER dvejetainį failą, išsaugoti jį kompiuteryje ir paruošti veiksmui.
Giliau panagrinėkime jo galimybes
„EDDIESTEALER“ sukurtas tam, kad iš užkrėstų įrenginių rinktų įvairius jautrius duomenis. Jis taikomasi į interneto naršykles, slaptažodžių tvarkykles, kriptovaliutų pinigines, FTP klientus ir net susirašinėjimo programėles. Sutelkdamas dėmesį į tokią vertingą informaciją, „EDDIESTEALER“ gali pakenkti savo aukų asmeniniam ir finansiniam saugumui.
Kenkėjiška programa siunčia signalus į komandų ir valdymo (C2) serverį, grąžindama užšifruotą pagrindinio kompiuterio informaciją ir vykdydama komandas, kad surinktų daugiau duomenų. Ji naudoja standartinių sistemos funkcijų derinį, kad nuskaitytų tikslinius failus, ir išlaiko paslaptį, naudodama eilučių šifravimą ir kitus apėjimo metodus. Pavyzdžiui, EDDIESTEALER gali aptikti, ar ji analizuojama „smėlio dėžės“ aplinkoje – tai įprastas kibernetinio saugumo tyrėjų naudojamas metodas – ir ištrina save, kad išvengtų aptikimo.
Slaptumas ir tikslumas
Be įspūdingų duomenų vagystės gebėjimų, EDDIESTEALER pasižymi ir nemažu rafinuotumu. Jis sukuria „mutex“ – unikalų identifikatorių – kad užtikrintų, jog vienu metu veiktų tik vienas kenkėjiškos programos egzempliorius. Be to, jis naudoja pažangias technikas, tokias kaip pervadinimas naudojant NTFS alternatyvius duomenų srautus, kad apeitų failų užraktus ir ištrintų savo pėdsakus – taktika, naudojama ir kitose kenkėjiškose programose, tokiose kaip „Latrodectus“.
Vienas iš svarbiausių EDDIESTEALER gudrybių yra jos gebėjimas apeiti „Chromium“ pagrindu sukurtų naršyklių, įskaitant „Chrome“, saugos funkcijas. Jame integruota modifikuota atvirojo kodo įrankio, vadinamo „ChromeKatz“, versija. Net jei vartotojo naršyklė neatidaryta, kenkėjiška programa sukuria nematomą langą, kuris nuskaito naršyklės atmintį ir išgauna prisijungimo duomenis, efektyviai apeidamas įprastas apsaugos priemones.
Pasekmės vartotojams ir įmonėms
EDDIESTEALER atsiradimas pabrėžia nerimą keliančią šiuolaikinių kenkėjiškų programų kūrimo tendenciją: užpuolikai vis dažniau naudoja „Rust“ – kalbą, žinomą dėl savo saugumo ir našumo. Dėl to tokios kenkėjiškos programos kaip EDDIESTEALER yra ne tik greitesnės ir efektyvesnės, bet ir sunkiau aptinkamos naudojant įprastas saugumo priemones.
Asmenims tai reiškia, kad budrumas yra labai svarbus. Iš pažiūros nekenksmingi raginimai, tokie kaip CAPTCHA patvirtinimai, gali užmaskuoti paslėptas grėsmes. Patartina vengti įvesti komandas dialogo lange „Vykdyti“, nebent esate visiškai tikri dėl šaltinio.
Verslui rizika dar didesnė. Kadangi EDDIESTEALER gali atakuoti įvairias programas – nuo FTP klientų iki kriptovaliutų piniginių, net ir viena sėkminga užkrėtimo sistema gali turėti toli siekiančių pasekmių. Siekiant sušvelninti šią riziką, būtina stipri galinių įrenginių apsauga, reguliarūs programinės įrangos atnaujinimai ir darbuotojų mokymas apie socialinės inžinerijos taktiką.
Žvilgsnis į priekį: platesnis vaizdas
„EDDIESTEALER“ aptikimas yra platesnio masto informaciją vagiančių kenkėjiškų programų kampanijų bangos dalis. Panašios kampanijos buvo pastebėtos įvairiose platformose, įskaitant „macOS“ ir „Android“, kiekviena jų buvo pritaikyta išnaudoti konkrečios platformos silpnąsias vietas.
Nepaisant sudėtingų metodų, EDDIESTEALER taktika galiausiai remiasi vienu svarbiu veiksniu: žmonių pasitikėjimu. Šviečiant vartotojus ir diegiant daugiasluoksnes saugumo priemones, galima sumažinti tokių kenkėjiškų programų poveikį ir apsaugoti jautrius duomenis nuo kibernetinių nusikaltėlių rankų.
Kadangi EDDIESTEALER ir panašios grėsmės toliau vystosi, pirmoji gynybos linija yra būti informuotam. Socialinės inžinerijos atakų požymių atpažinimas ir žinojimas, kaip šios grėsmės veikia, gali suteikti tiek asmenims, tiek organizacijoms galimybę užtikrinti savo skaitmeninio gyvenimo saugumą.
