Una nueva campaña de malware está distribuyendo un novedoso robador de información basado en el óxido denominado Eddiestealer utilizando la popular Táctica de Ingeniería Social de ClickFix iniciada a través de páginas de comprobación Captcha falsas.
“Esta campaña aprovecha las páginas de comprobación Captcha engañosas que engañan a los usuarios para ejecutar un script de Powershell desconfiado, que finalmente despliega el infostaler, cosecha datos confidenciales como credenciales, información de navegador y detalles de la billetera de criptomonedas”, dijo el investigador de laboratorios de seguridad elásticos, Jia Yu Chean, en un observación.
Las cadenas de ataque comienzan con los actores de amenaza que comprometen sitios web legítimos con cargas bártulos de JavaScript maliciosas que sirven a las páginas de cheques de captcha falsos, que solicitan a los visitantes del sitio “demostrar que no es (a) autómata” siguiendo un proceso de tres pasos, una táctica prevalente citación ClickFix.
Esto implica instruir a la víctima potencial para aclarar el indicador de diálogo Run Windows, pegar un comando ya copiado en la “ventana de comprobación” (es opinar, el diálogo Ejecutar) y presione Entrar. Esto efectivamente hace que el comando de PowerShell ofuscado sea ejecutado, lo que resulta en la recuperación de una carga útil de la próxima etapa de un servidor foráneo (“LLLL (.) FIT”).
La carga útil de JavaScript (“Gverify.js”) se escolta luego en la carpeta de descargas de la víctima y se ejecuta usando CScript en una ventana oculta. El objetivo principal del script intermedio es obtener el binario EddiDdiDeSsealer del mismo servidor remoto y almacenarlo en la carpeta de descargas con un nombre de archivo pseudorandom de 12 caracteres.
Escrito en Rust, EddiDeSpaler es un malware de robador de productos básicos que puede resumir metadatos del sistema, cobrar tareas de un servidor de comando y control (C2) y datos de interés sifón del host infectado. Los objetivos de exfiltración incluyen billeteras de criptomonedas, navegadores web, administradores de contraseñas, clientes FTP y aplicaciones de correo.
“Estos objetivos están sujetos a cambios, ya que el cirujano C2 los configuran”, explicó Elastic. “Eddiestealer luego lee los archivos específicos utilizando funciones standard de kernel32.dll como CreateFileW, GetFileSizeX, ReadFile y CloseHandle”.
La información del host recopilada se encripta y se transmite al servidor C2 en una solicitud de publicación HTTP separada posteriormente de la finalización de cada tarea.
Encima de incorporar el enigmático de cadenas, el malware emplea un mecanismo de búsqueda de Winapi personalizado para resolver llamadas de API y crea un mutex para avalar que solo una lectura se esté ejecutando en un momento entregado. Incluso incorpora verificaciones para determinar si se está ejecutando en un entorno de sandboxed y, de ser así, se elimina del disco.
“Basado en una técnica de autoselección similar observada en Latrodectus, EddiDiDeLer es capaz de eliminarse a través de las secuencias de datos alternativas de NTFS que cambian de nombre, para evitar bloqueos de archivos”, señaló Elastic.
Otra característica extraordinario incorporada en el robador es su capacidad para evitar el enigmático unido a la aplicación de Chromium para obtener acercamiento a datos confidenciales no cifrados, como las cookies. Esto se logra al incluir una implementación de óxido de Chromekatz, una utensilio de código descubierto que puede volcar cookies y credenciales de la memoria de los navegadores basados en cromo.
La lectura de óxido de Chromekatz igualmente incorpora cambios para manejar escenarios en los que el navegador de cromo objetivo no se está ejecutando. En tales casos, genera una nueva instancia de navegador utilizando los argumentos de la radio de comandos “–Window-Position = -3000, -3000 https://google.com,” posicionando efectivamente la nueva ventana allí de la pantalla y haciendo su invisible para el sucesor.
Al aclarar el navegador, el objetivo es permitir que el malware lea la memoria asociada con el proceso de niños del servicio de red de Chrome identificado por el indicador “-Utilidad-sub-type = network.mojom.networkservice” y finalmente extrae las credenciales.
Elastic dijo que igualmente identificó versiones actualizadas del malware con características para cosechar procesos de ejecución, información de GPU, número de núcleos de CPU, nombre de CPU y proveedor de CPU. Encima, las nuevas variantes ajustan el patrón de comunicación C2 enviando preventivamente la información del host al servidor antaño de cobrar la configuración de la tarea.
Eso no es todo. La secreto de enigmático utilizada para la comunicación de cliente a servidor está codificada en el binario, en ocupación de recuperarla dinámicamente del servidor. Encima, se ha descubierto que el robador venablo un nuevo proceso de Chrome con–Remote-DeBugging-Port =
“Esta prohijamiento de óxido en el incremento de malware refleja una tendencia creciente entre los actores de amenaza que buscan servirse las características del jerigonza flamante para mejorar el sigilo, la estabilidad y la resistor contra los flujos de trabajo de observación tradicionales y los motores de detección de amenazas”, dijo la compañía.
La divulgación se produce cuando C/Side reveló detalles de una campaña de ClickFix que se dirige a múltiples plataformas, como Apple MacOS, Android e iOS, utilizando técnicas como redirecciones basadas en navegadores, indicaciones falsas de interfaz de sucesor y técnicas de descarga de transmisión.
La condena de ataque comienza con un JavaScript ofned alojado en un sitio web, que cuando se ve de MacOS, inicia una serie de redirecciones a una página que conductor a las víctimas a divulgar terminal y ejecutar un script de shell, lo que conduce a la descarga de un malware robador que ha sido traumatizado en Virustotal como el robador de macos atómico (amos).
Sin incautación, la misma campaña se ha configurado para iniciar un esquema de descarga de transmisión al saludar la página web desde un dispositivo Android, iOS o Windows, lo que lleva a la implementación de otro malware troyano.
Las divulgaciones coinciden con la aparición de nuevas familias de malware de robador como Katz Stealer y AppleProcesshub Stealer dirigido a Windows y MacOS respectivamente, y son capaces de cosechar una amplia gradación de información de hosts infectados, según Nextron y Kandji.
Katz Stealer, al igual que EddiDiDealer, está diseñado para eludir el enigmático unido a la aplicación de Chrome, pero de una forma diferente al gastar la inyección de DLL para obtener la secreto de enigmático sin privilegios de administrador y usarlo para descifrar cookies y contraseñas cifradas de los navegadores basados en Chromium.
“Los atacantes ocultan JavaScript desconfiado en archivos GZIP, que, cuando se abren, activan la descarga de un script de PowerShell”, dijo Nextron. “Este script recupera una carga útil de cargador basada en .NET, que inyecta al robador en un proceso permitido. Una vez activo, exfiltrata los datos de robo al servidor de comando y control”.
AppleProcesshub Stealer, por otro flanco, está diseñado para exfiltrar archivos de sucesor, incluidos el historial de bash, el historial de ZSH, las configuraciones de GitHub, la información SSH y el cadena iCloud.
Las secuencias de ataque que distribuyen el malware implican el uso de un binario Mach-O que descarga un script de robo de bash de segunda etapa del servidor “AppleProcesshub (.) Com” y lo ejecuta, cuyos resultados se exfiltran con destino a el servidor C2. Los detalles del malware fueron compartidos por primera vez por el Malwarehunterteam el 15 de mayo de 2025, y por el Laboratorio de Regional de MacPaw la semana pasada.
“Este es un ejemplo de un Mach-O escrito en Objective-C que se comunica con un servidor de comando y control para ejecutar scripts”, dijo el investigador de Kandji Christopher López.
