02/06/25
Масштабная схема стартует с компрометации легитимных сайтов: на страницы встраивается вредоносный JavaScript, который подменяет обычные капчи поддельными окнами «Проверьте, что вы не робот». Пользователь, не подозревая подвоха, получает инструкцию — выполнить три простых действия: открыть окно «Выполнить», вставить туда скопированную команду и подтвердить. Этот сценарий известен как ClickFix и крайне популярен в мошеннических уловках последних лет, пишет Securitylab.
Фактически жертва запускает скрытый PowerShell-скрипт, который скачивает промежуточный компонент — скрипт «gverify.js». Тот уже бесшумно подгружает основной исполняемый файл EDDIESTEALER, маскируя его под случайное имя. Далее стилер собирает системную информацию, список процессов, сведения о процессоре и видеокарте, а также начинает охоту за паролями, криптокошельками, файлами мессенджеров, FTP-клиентов и менеджеров паролей.
Ключевая особенность EDDIESTEALER — активное использование современных приёмов маскировки: программой шифруются строки, применяются нетривиальные техники поиска API-функций, реализуется самоуничтожение в песочнице через переименование NTFS Alternate Data Streams. Так обеспечивается высокая живучесть и затрудняется анализ в автоматических песочницах.
Особого внимания заслуживает способ получения нешифрованных данных Chrome: в состав вредоноса включён переработанный модуль ChromeKatz на Rust, который позволяет извлекать куки и пароли не только из активных сессий, но и инициировать скрытый запуск браузера с окном, унесённым далеко за пределы экрана. Благодаря этому появляется возможность прочитать содержимое памяти сетевого процесса браузера и получить нужные учётные данные без участия пользователя.
В новых версиях EDDIESTEALER реализована отправка информации на сервер сразу после заражения, ещё до получения задания от управляющего сервера. Кроме того, добавлена поддержка взаимодействия с браузером через DevTools Protocol: вредонос запускает Chrome с параметром удалённой отладки и выходит на WebSocket-интерфейс, что даёт прямой доступ к данным без видимого вмешательства.
Ещё одна особенность — жёстко зашитый в бинарный файл ключ для шифрования коммуникации, что усложняет обнаружение и анализ сетевых потоков. Все этапы эксфильтрации сопровождаются проверками на наличие других экземпляров вредоноса и анализом окружения.
Параллельно развивать тему ClickFix продолжают и другие группы хакеров: c/side отмечает аналогичные сценарии для macOS, Android и iOS. При заходе на вредоносный сайт с Mac жертве предлагают запустить Terminal и выполнить shell-скрипт, который в итоге приводит к установке другого популярного стилера — Atomic macOS Stealer (AMOS). На мобильных устройствах схема трансформируется в drive-by-загрузку троянов.
Кроме того, эксперты Nextron и Kandji фиксируют всплеск активности новых семейств стилеров — Katz Stealer и AppleProcessHub Stealer. Первый из них, как и EDDIESTEALER, умеет обходить защиту Chrome, но достигает этого через внедрение DLL и извлечение ключа шифрования без прав администратора. AppleProcessHub Stealer нацелен на кражу bash/zsh-истории, SSH и iCloud Keychain, а его дроппер маскируется под Mach-O-бинарник и загружает bash-скрипт для эксфильтрации данных.
