EDDIESTEALER 惡意軟體：這種複雜的威脅會帶來什麼後果

又一波網路入侵

另一種名為 EDDIESTEALER 的惡意軟體正在成為網路安全界的頭條新聞。這款惡意軟體採用現代Rust 程式語言編寫，代表了網路犯罪分子從毫無戒心的用戶那裡竊取敏感資訊的新方法。這項活動透過虛假的 CAPTCHA 驗證頁面進行社會工程攻擊，這是一種聰明且具有欺騙性的技術。

EDDIESTEALER 的工作原理

當網路攻擊者入侵合法網站並嵌入惡意 JavaScript 程式碼時，感染就開始了。當訪客登陸此類受感染的網站時，他們會收到虛假的 CAPTCHA 檢查，要求他們證明自己不是機器人。這種方法稱為ClickFix策略，它引導使用者完成看似無害的三步驟驗證過程。

然而，這個過程是一個陷阱。它指示使用者複製命令並將其貼上到 Windows 運行對話方塊中。不知不覺中，這會觸發一個 PowerShell 腳本，從外部伺服器取得額外的有效負載。該腳本下載一個名為“gverify.js”的檔案並在後台執行它。該腳本的主要作用是檢索 EDDIESTEALER 二進位檔案本身，將其儲存在電腦上，並做好操作準備。

深入了解其功能

EDDIESTEALER 旨在從受感染的設備收集各種敏感資料。它的目標是網頁瀏覽器、密碼管理器、加密貨幣錢包、FTP 用戶端，甚至是訊息應用程式。透過關注這些有價值的信息，EDDIESTEALER 可能會危害受害者的人身和財務安全。

該惡意軟體會向命令和控制 (C2) 伺服器發送訊號，發回加密的主機資訊並按照命令收集更多資料。它使用標準系統功能的組合來讀取目標文件，並透過採用字串加密和其他逃避技術來保持低調。例如，EDDIESTEALER 可以偵測自己是否在沙盒環境中進行分析（這是網路安全研究人員常用的方法），並且會刪除自身以避免被發現。

隱身與精確

除了令人印象深刻的資料竊取能力之外，EDDIESTEALER 還展現了顯著的複雜程度。它創建一個互斥鎖（一個唯一識別碼），以確保一次只運行一個惡意軟體實例。此外，它還使用先進的技術，例如透過 NTFS 備用資料流重命名自身，以繞過檔案鎖定並消除其痕跡，這種策略也出現在其他惡意軟體（如 Latrodectus）中。

EDDIESTEALER 最顯著的伎倆之一是它能夠繞過基於 Chromium 的瀏覽器（包括 Chrome）的安全功能。它包含一個名為 ChromeKatz 的開源工具的修改版本。即使使用者的瀏覽器沒有打開，惡意軟體也會產生一個不可見的視窗來讀取瀏覽器的記憶體並提取憑證，從而有效地規避現有的正常保護措施。

對使用者和企業的影響

EDDIESTEALER 的出現凸顯了現代惡意軟體開發中的一個令人擔憂的趨勢：攻擊者越來越多地轉向 Rust，一種以安全性和效能著稱的語言。這使得像 EDDIESTEALER 這樣的惡意軟體不僅速度更快、更有效率，而且更難用傳統安全工具偵測到。

對個人來說，這意味著警惕至關重要。看似無害的提示（例如 CAPTCHA 驗證）可能會掩蓋隱藏的威脅。除非您完全確定來源，否則最好避免在執行對話方塊中輸入命令。

對企業來說，風險甚至更高。 EDDIESTEALER 能夠針對從 FTP 用戶端到加密貨幣錢包等各種應用程序，即使一次成功感染也可能產生深遠的影響。強大的端點保護、定期的軟體更新以及對員工的社會工程策略教育對於降低這些風險至關重要。

展望未來：更廣闊的前景

EDDIESTEALER 的發現是資訊竊取惡意軟體活動激增的一部分。在包括 macOS 和 Android 在內的各種平台上都觀察到了類似的活動，每個活動都旨在利用特定於平台的弱點。

儘管 EDDIESTEALER 的技術十分複雜，但它的策略最終依賴於一個關鍵因素：人類的信任。透過教育使用者和部署分層安全措施，可以減少此類惡意軟體的影響並使敏感資料不落入網路犯罪分子手中。

隨著 EDDIESTEALER 和類似威脅的不斷演變，保持知情是第一道防線。識別社會工程攻擊的跡象並了解這些威脅的運作方式可以幫助個人和組織保障他們的數位生活安全。