بدافزار جدید EDDIESTEALER؛ ارزهای دیجیتال شما در خطر هستند

EDDIESTEALER چیست؟

بدافزاری نوشته‌شده به زبان Rust

EDDIESTEALER یک بدافزار سرقت اطلاعات است که با زبان قدرتمند و سریع Rust نوشته شده و برای دور زدن رمزگذاری Chrome طراحی شده است.

هدف اصلی EDDIESTEALER چیست؟

• سرقت گذرواژه‌ها

• دستیابی به کوکی‌های مرورگر

• استخراج اطلاعات از کیف پول‌های رمزنگاری

• دسترسی به برنامه‌های پیام‌رسان، مدیران رمز عبور و FTP کلاینت‌ها

روش نفوذ: حمله از طریق CAPTCHA جعلی

تکنیک ClickFix چیست؟

ClickFix یک روش مهندسی اجتماعی است که با نمایش صفحه تأیید هویت جعلی CAPTCHA، کاربر را فریب داده و دستور PowerShell مخرب را اجرا می‌کند.

مراحل حمله چگونه هستند؟

1. هدایت کاربر به صفحه CAPTCHA جعلی

2. کپی خودکار یک دستور

3. اجرای آن از طریق پنجره Run ویندوز

4. دانلود و اجرای فایل‌های مخرب

ساختار فنی حمله

استفاده از اسکریپت PowerShell

این اسکریپت فایل اصلی بدافزار را از سرور خارجی دریافت می‌کند و با نامی تصادفی در پوشه Downloads ذخیره و اجرا می‌کند.

فایل gverify.js چیست؟

این فایل jаvascript مخرب است که به‌صورت پنهانی اجرا شده و به عنوان مرحله میانی در انتقال بدافزار عمل می‌کند.

ویژگی‌های فنی و پنهان‌سازی

۱. رمزنگاری ارتباطات

ارتباط بین بدافزار و سرور کنترل (C2) با استفاده از کلید رمزگذاری داخلی انجام می‌شود.

۲. اجرای مخفیانه Chrome

در صورت اجرا نشدن مرورگر، بدافزار یک پنجره Chrome جدید را با موقعیت خارج از صفحه باز می‌کند.

۳. دور زدن رمزگذاری مرورگر

با استفاده از ابزار متن‌باز ChromeKatz، حتی اطلاعات رمزگذاری‌شده مانند کوکی‌ها را نیز استخراج می‌کند.

۴. جلوگیری از تحلیل بدافزار

• بررسی محیط‌های سندباکس

• حذف خودکار در صورت شناسایی محیط مشکوک

• استفاده از مکانیزم WinAPI اختصاصی

اهداف و داده‌های هدف‌گذاری‌شده

چرا Rust انتخاب شده است؟

• اجرای سریع و کارآمد

• پنهان‌کاری بالا

• مقاوم در برابر تحلیل‌گرهای سنتی

کمپین‌های مشابه و گسترش تهدید

سیستم‌عامل‌های هدف

• ویندوز

• macOS (با بدافزار AMOS)

• اندروید و iOS (حملات drive-by)

نمونه‌ای از حمله به macOS

کاربر با مراجعه به یک سایت مخرب، راهنمایی می‌شود تا اسکریپتی را در Terminal اجرا کند که نسخه مخصوص macOS بدافزار را دانلود و اجرا می‌کند.

تفاوت EDDIESTEALER با Katz Stealer

چگونه از خود محافظت کنیم؟

اقدامات پیشگیرانه:

• هرگز دستوراتی را از صفحات نامعتبر اجرا نکنید.

• به پنجره‌های CAPTCHA مشکوک حساس باشید.

• مرورگر خود را به‌روز نگه دارید.

• از آنتی‌ویروس معتبر استفاده کنید.

• از کلیک روی لینک‌های مشکوک پرهیز کنید.

ابزارهای مفید برای شناسایی:

• Process Explorer (برای مشاهده پردازش‌های مشکوک)

• Wireshark (برای بررسی ارتباطات شبکه)

• Autoruns (برای بررسی اجرای خودکار)

بخش سوالات متداول (FAQ)

1. آیا EDDIESTEALER فقط مرورگر Chrome را هدف می‌گیرد؟
   خیر، این بدافزار مرورگرهای مبتنی بر Chromium و برنامه‌های دیگر مانند کیف پول‌های رمزنگاری را نیز هدف می‌گیرد.
2. آیا می‌توان فعالیت EDDIESTEALER را در Task Manager دید؟
   معمولاً با نام‌های تصادفی اجرا می‌شود و خود را پنهان می‌کند، ولی با ابزارهای تخصصی قابل شناسایی است.
3. آیا آنتی‌ویروس‌ها قادر به شناسایی آن هستند؟
   نسخه‌های جدید آن ممکن است توسط برخی آنتی‌ویروس‌ها شناسایی نشوند؛ بروز بودن نرم‌افزار امنیتی اهمیت زیادی دارد.
4. چرا حمله با CAPTCHA انجام می‌شود؟
   چون ظاهر آن معتبر و معمولی است و کاربر را فریب می‌دهد تا دستور مخرب را خودش اجرا کند.
5. آیا اطلاعات کاربر به خارج از کشور منتقل می‌شود؟
   بله، داده‌ها به سرورهای کنترل که خارج از دستگاه قربانی هستند ارسال می‌شوند.

نتیجه‌گیری

حمله EDDIESTEALER یکی از پیشرفته‌ترین نمونه‌های بدافزارهای مدرن است که از زبان Rust برای دور زدن رمزنگاری مرورگرها و اجرای حملات هدفمند استفاده می‌کند. با افزایش آگاهی کاربران و به‌کارگیری ابزارهای دفاعی، می‌توان از قربانی شدن توسط چنین تهدیداتی جلوگیری کرد. هشیار بودن، کلید بقا در فضای دیجیتال امروز است.

منبع خبر: thehackernews