複数ライセンス割引見積
脅威データベース マルウェア EDDIESTEALER マルウェア

EDDIESTEALER マルウェア

マルウェアMezoまで
翻訳内容:

新たなマルウェアキャンペーンが出現し、EDDIESTEALERと呼ばれる高度なRustベースの情報窃盗マルウェアを拡散しています。攻撃者はClickFixと呼ばれる巧妙なソーシャルエンジニアリング戦術を駆使し、偽のCAPTCHA認証ページにユーザーを誘導して悪意のあるスクリプトを実行させます。EDDIESTEALERがアクティブになると、認証情報、ブラウザデータ、暗号通貨ウォレットの詳細といった機密データを収集します。

感染チェーン:偽CAPTCHAから本格的なインフォスティーラーまで

攻撃は、正規のウェブサイトが悪意のあるJavaScriptペイロードに侵入されることから始まります。訪問者には偽のCAPTCHAページが表示され、3段階のプロセスを経て「ロボットではないことを証明する」よう求められます。
このプロセスには以下が含まれます。

  • Windows の実行ダイアログを開きます。
  • 事前にコピーしたコマンドを貼り付けます。
  • 自らを検証するためにそれを実行する。

この一見無害な行為により、難読化された PowerShell コマンドがトリガーされ、リモート サーバー (llll[.]fit) から次の段階のペイロードが取得されます。

ペイロードの展開とステルス実行

悪意のあるJavaScript(gverify.js)は被害者のダウンロードフォルダに保存され、cscriptを使用してサイレントに実行されます。この中間スクリプトの役割は、同じリモートサーバーからEDDIESTEALERバイナリを取得し、ランダムな12文字のファイル名でダウンロードフォルダに保存することです。

EDDIESTEALER マルウェアは次のことが可能です。

  • システムメタデータを収集します。
  • コマンド アンド コントロール (C2) サーバーから指示を受信します。
  • ブラウザデータ、暗号通貨ウォレット、パスワードマネージャー、FTP クライアント、メッセージングアプリなどのデータを感染したシステムから盗み出します。

C2オペレーターはターゲットを調整できます。ファイルアクセスは、CreateFileW、GetFileSizeEx、ReadFile、CloseHandleなどの標準のkernel32.dll関数を使用して処理されます。

データ流出と分析防止機能

各タスクの実行後、収集されたデータは暗号化され、個別のHTTP POSTリクエストを介してC2サーバーに送信されます。マルウェアは、検知を逃れるために以下の手段を用いています。

  • 文字列の暗号化。
  • API 呼び出しを解決するためのカスタム WinAPI 検索メカニズム。
  • 1 つのインスタンスのみが実行されるようにするミューテックス。
  • サンドボックス環境をチェックし、検出された場合は自身を削除します。

    • EDDIESTEALER は、Latrodectus マルウェアがファイル ロックを回避するために使用する手法と同様に、NTFS 代替データ ストリームの名前を変更して自身を削除することもできます。

    ChromeKatzによるChromiumのエクスプロイト

    このマルウェアの最も懸念される特徴の一つは、Chromiumのアプリ固有の暗号化をバイパスする能力です。このマルウェアは、ChromiumベースのブラウザからCookieと認証情報をダンプするために設計されたオープンソースツールであるChromeKatzのRust実装を統合しています。

    標的のブラウザが起動していない場合、EDDIESTEALERは「--window-position=-3000,-3000 https://google.com コマンド」を使用して隠しブラウザインスタンスを起動します。これにより、「-utility-sub-type=network.mojom. NetworkService」子プロセスに関連付けられたメモリにアクセスし、最終的に認証情報を抽出します。

    アップデート版で拡張された機能

    EDDIESTEALER の最新バージョンでは、以下の情報も収集できます。

    • 実行中のプロセス。
    • GPU の詳細。
    • CPU コアの数、CPU 名、ベンダー。
    • システム情報 (タスク構成前でもサーバーに送信されます)。

    さらに、クライアントとサーバー間の通信に使用される暗号化キーはバイナリにハードコードされているため、運用上のセキュリティが強化されています。また、このマルウェアは「--remote-debugging-port=」オプションを使用して新しいChromeプロセスを起動し、DevToolsプロトコルを介したヘッドレスブラウザインタラクションを可能にすることで、ユーザーの操作を必要とせずに済みます。

    クロスプラットフォーム ClickFix キャンペーン

    EDDIESTEALER での Rust の使用は、ステルス性、安定性、検出の回避のために最新の言語機能を活用するマルウェア開発者の傾向の高まりを浮き彫りにしています。

    このキャンペーンは、ClickFix戦術を複数のプラットフォームで活用しようとする攻撃者による広範な取り組みの一環です。c/sideの研究者は、macOS、Android、iOSを標的とした同様の攻撃を確認しています。macOSの場合、悪意のあるJavaScriptは、被害者にターミナルシェルスクリプトの実行を指示するページにリダイレクトし、Atomic macOS Stealer(AMOS)を展開します。

    Android、iOS、Windows の訪問者の場合、ドライブバイ ダウンロード スキームによって別のトロイの木馬マルウェアが展開されるため、非常に汎用性の高いクロスプラットフォームの脅威となります。

    結論

    EDDIESTEALERキャンペーンは、ソーシャルエンジニアリングと高度なマルウェア開発を組み合わせた攻撃の有効性を実証しています。その高度なRustベースのコア、クロスプラットフォームへの適応性、そしてブラウザ保護の回避能力は、組織や個人がサイバーセキュリティ対策において常に警戒を怠らず、積極的に行動する必要性を高めていることを浮き彫りにしています。

    トレンド

    Perwousesoc.com

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    インターネットには、有益な情報と隠れた罠が満ち溢れています。一見、日常的なブラウジングのように見えますが、うっかり間違ったサイトをクリックするだけで、悪質な行為やマルウェア、プライバシー侵害の温床となる可能性があります。こうした脅威の代表的な例として、Perwousesoc.com が挙げられます。これは、ユーザーの信頼を悪用し、ブラウザの権限を操作しようとする欺瞞サイトです。このようなサイ...

    Berolorladentra.co.in

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    たった一度の不注意なクリックで、ユーザーはサイバー脅威やサイバー戦術、あるいはそれ以上の被害に遭う可能性があります。悪意のある行為者は、無防備な被害者を欺き、操り、利益を得るために、常にその手口を洗練させています。最近の例としては、ブラウザの機能を悪用し、ユーザーを不審なサイトに誘導する不正なプラットフォームであるBerolorladentra.co.inという不正ウェブサイトが挙げられます...

    HyperLend投票報酬詐欺

    不正なウェブサイト
    インターネットは大きなチャンスをもたらす一方で、ますます巧妙化する脅威も潜んでいます。偽のプロモーションから暗号資産の流出業者まで、サイバー犯罪者は巧妙な手口を用いて、何も知らないユーザーを騙し、資産へのアクセスを奪おうとします。特に暗号資産取引のような機密性の高い取引を扱う際には、オンライン上で常に警戒を怠らないことが不可欠です。最近の例としては、HyperLend Vote Reward...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    60,908
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    50,394
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

    Discord 灰色の画面で立ち往生

    問題
    50,099
    時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
    読み込んでいます...