Νέο InfoStealer παραδίδει το EDDIESTEALER μέσω Fake CAPTCHA

secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More

Νέο InfoStealer παραδίδει το EDDIESTEALER μέσω Fake CAPTCHA
https://www.secnews.gr/649752/neo-infostealer-paradidei-eddiestealer-meso-fake-captcha/
May 30th 2025, 14:28
by Absenta Mia

Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού, η οποία αξιοποιεί παραπλανητικές σελίδες CAPTCHA επαλήθευσης για να διανείμει ένα νέο, βασισμένο στη γλώσσα Rust, εργαλείο υποκλοπής πληροφοριών με την ονομασία EDDIESTEALER.
Δείτε επίσης: Το Katz Stealer στοχεύει τα Chrome, Edge, Brave και Firefox


Η εκστρατεία αυτή αποτελεί σημαντική εξέλιξη στις τακτικές social engineering, καθώς οι κυβερνοεγκληματίες εκμεταλλεύονται την εξοικείωση των χρηστών με τις συνήθεις διαδικασίες επαλήθευσης ασφαλείας για να τους παραπλανήσουν και να εκτελέσουν κακόβουλο κώδικα.
Το EDDIESTEALER χρησιμοποιεί έναν πολύπλοκο μηχανισμό διάδοσης πολλαπλών σταδίων, που ξεκινά από παραβιασμένους ιστότοπους οι οποίοι εμφανίζουν πειστικές ψεύτικες οθόνες επαλήθευσης τύπου «Δεν είμαι ρομπότ». Τελικά, αυτό οδηγεί στην εγκατάσταση ενός ισχυρού εργαλείου υποκλοπής δεδομένων, ικανού να συλλέγει διαπιστευτήρια, πληροφορίες από προγράμματα περιήγησης και στοιχεία από πορτοφόλια κρυπτονομισμάτων.
Το κανάλι επίθεσης επιδεικνύει αξιοσημείωτη πολυπλοκότητα στη μεθοδολογία υλοποίησής του. Η αρχική πρόσβαση επιτυγχάνεται μέσω παραβιασμένων ιστοτόπων, οι οποίοι φορτώνουν συγκαλυμμένα JavaScript payloads βασισμένα στο React, εμφανίζοντας στους χρήστες μια φαινομενικά αυθεντική διεπαφή επαλήθευσης Google reCAPTCHA.
Αυτές οι ψεύτικες οθόνες επαλήθευσης καθοδηγούν τους χρήστες να εκτελέσουν φαινομενικά αθώες ενέργειες: να πατήσουν τα πλήκτρα Windows + R για να ανοίξουν το παράθυρο "Εκτέλεση", να πατήσουν Ctrl + V για να επικολλήσουν το περιεχόμενο του πρόχειρου, και στη συνέχεια Enter για να εκτελέσουν την εντολή.
Δείτε ακόμα: Οι αρχές διατάραξαν την υποδομή του Lumma Stealer malware
Χωρίς να το γνωρίζει το θύμα, το κακόβουλο JavaScript έχει ήδη αντιγράψει μια εντολή PowerShell στο πρόχειρο χρησιμοποιώντας τη μέθοδο document.execCommand("copy"). Οι αναλυτές των Elastic Security Labs εντόπισαν αυτήν την ανερχόμενη απειλή μέσω εκτεταμένης ανάλυσης τηλεμετρίας, αποκαλύπτοντας ότι η εκστρατεία χρησιμοποιεί μια εξελιγμένη δομή εντολών για να κατεβάζει σιωπηλά δευτερεύοντα payloads από υποδομή που ελέγχεται από τους επιτιθέμενους.


Η εντολή PowerShell ανακτά αυτόματα ένα αρχείο JavaScript με το όνομα "gverify.js" από τομείς όπως το hxxps://1111.fit/version/, το οποίο στη συνέχεια κατεβάζει το κύριο εκτελέσιμο του EDDIESTEALER, χρησιμοποιώντας ένα ψευδοτυχαία παραγόμενο όνομα αρχείου 12 χαρακτήρων.
Αυτή η πολυεπίπεδη προσέγγιση καλύπτει αποτελεσματικά τη πραγματική φύση της επίθεσης, διατηρώντας την ψευδαίσθηση μιας νόμιμης διαδικασίας επαλήθευσης συστήματος. Ο αντίκτυπος του κακόβουλου λογισμικού ξεπερνά κατά πολύ την απλή υποκλοπή διαπιστευτηρίων, στοχεύοντας σε ένα ευρύ φάσμα ευαίσθητων δεδομένων, όπως πορτοφόλια κρυπτονομισμάτων, αποθηκευμένα διαπιστευτήρια από προγράμματα περιήγησης, βάσεις δεδομένων από διαχειριστές κωδικών, ρυθμίσεις πελατών FTP και εφαρμογές ανταλλαγής μηνυμάτων.
Το EDDIESTEALER επιδεικνύει ιδιαίτερη πολυπλοκότητα στην αντιμετώπιση των σύγχρονων μηχανισμών ασφαλείας των browser, εφαρμόζοντας τεχνικές παρόμοιες με αυτές του ChromeKatz για την παράκαμψη των προστασιών κρυπτογράφησης που βασίζονται στην εφαρμογή και έχουν εισαχθεί στις πρόσφατες εκδόσεις του Chrome. Η ικανότητα του κακόβουλου λογισμικού να προσαρμόζεται σε εξελισσόμενα μέτρα ασφαλείας αναδεικνύει τη συνεχιζόμενη απειλή που θέτουν οι καλά οργανωμένες και άρτια εξοπλισμένες κυβερνοεγκληματικές ομάδες.
Δείτε επίσης: Το νέο Chihuahua Infostealer στοχεύει δεδομένα browser
Σχετικά με τα παραπάνω, αξίζει να σημειωθεί ότι η κακόβουλη χρήση «ψεύτικων διαδικασιών επαλήθευσης» αποτελεί μια διαρκώς εξελισσόμενη μορφή social engineering, η οποία εκμεταλλεύεται την εμπιστοσύνη και τη συνήθεια των χρηστών απέναντι σε γνώριμες οθόνες ασφαλείας, όπως το Google reCAPTCHA.
Πηγή: cybersecuritynews



You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz