Kampanye malware baru mendistribusikan pencuri informasi berbasis karat baru yang dijuluki Eddiestealer menggunakan taktik rekayasa sosial clickfix populer yang diprakarsai melalui halaman verifikasi captcha palsu.
“Kampanye ini memanfaatkan halaman verifikasi CAPTCHA yang menipu yang menipu pengguna untuk melaksanakan skrip PowerShell yang berbahaya, yang pada akhirnya menggunakan infostealer, memanen data sensitif seperti kredensial, informasi browser, dan detail dompet cryptocurrency,” peneliti laboratorium keamanan elastis Jia Yu mengatakan dalam sebuah analisis.
Rantai serangan dimulai dengan aktor ancaman yang kompromi situs web yang sah dengan muatan JavaScript berbahaya yang melayani halaman cek Captcha palsu, yang meminta pengunjung situs untuk “membuktikan bahwa Anda tidak [a] Robot “dengan mengikuti proses tiga langkah, taktik lazim bernama ClickFix.
Ini melibatkan menginstruksikan korban potensial untuk membuka prompt dialog Windows Run, tempel perintah yang sudah disalin ke dalam “jendela verifikasi” (yaitu, dialog run), dan tekan Enter. Ini secara efektif menyebabkan perintah PowerShell yang dikaburkan untuk dieksekusi, menghasilkan pengambilan muatan tahap berikutnya dari server eksternal (“llll[.]bugar”).
Payload JavaScript (“gverify.js”) kemudian disimpan ke folder unduhan korban dan dieksekusi menggunakan cscript di jendela tersembunyi. Tujuan utama dari skrip menengah adalah untuk mengambil biner eddiestealer dari server jarak jauh yang sama dan menyimpannya di folder unduhan dengan nama file pseudorandom 12-karakter.
Ditulis dalam Rust, EddiesteAler adalah malware pencuri komoditas yang dapat mengumpulkan metadata sistem, menerima tugas dari server perintah-dan-kontrol (C2), dan menyedot data yang menarik dari host yang terinfeksi. Target exfiltration termasuk dompet cryptocurrency, browser web, manajer kata sandi, klien FTP, dan aplikasi pesan.
“Target -target ini dapat berubah karena dapat dikonfigurasi oleh operator C2,” jelas Elastic. “EddiesteAler kemudian membaca file yang ditargetkan menggunakan fungsi kernel32.dll standar seperti CreateFileW, GetFilesizeEx, ReadFile, dan Closehandle.”
Informasi host yang dikumpulkan dienkripsi dan dikirim ke server C2 dalam permintaan HTTP Post terpisah setelah penyelesaian setiap tugas.
Selain menggabungkan enkripsi string, malware menggunakan mekanisme pencarian Winapi khusus untuk menyelesaikan panggilan API dan membuat mutex untuk memastikan bahwa hanya satu versi yang berjalan pada waktu tertentu. Ini juga menggabungkan cek untuk menentukan apakah itu dieksekusi di lingkungan kotak pasir, dan jika demikian, menghapus dirinya dari disk.
“Berdasarkan teknik penghapusan diri yang serupa yang diamati di Latrodectus, EddiesteAler mampu menghapus dirinya sendiri melalui NTFS Alternate Data Stream penggantian nama, untuk bypass file kunci,” kata Elastic.
Fitur penting lainnya yang dibangun ke dalam pencuri adalah kemampuannya untuk mem-bypass enkripsi APP-Bound Chromium untuk mendapatkan akses ke data sensitif yang tidak terenkripsi, seperti cookie. Ini dicapai dengan memasukkan implementasi karat Chromekatz, alat open-source yang dapat membuang cookie dan kredensial dari memori browser berbasis kromium.
Versi karat Chromekatz juga menggabungkan perubahan untuk menangani skenario di mana browser kromium yang ditargetkan tidak berjalan. Dalam kasus seperti itu, ia memunculkan instance browser baru menggunakan argumen baris perintah “–window-position = -3000, -3000 https://google.com,” secara efektif memposisikan jendela baru yang jauh di luar layar dan membuatnya tidak terlihat oleh pengguna.
Dalam membuka browser, tujuannya adalah untuk memungkinkan malware membaca memori yang terkait dengan proses layanan anak dari Chrome yang diidentifikasi oleh flag “-Utility-Sub-Type = network.mojom.networkservice” dan akhirnya mengekstrak kredensial.
Elastic mengatakan juga mengidentifikasi versi yang diperbarui dari malware dengan fitur untuk memanen proses berjalan, informasi GPU, jumlah core CPU, nama CPU, dan vendor CPU. Selain itu, varian baru men -tweak pola komunikasi C2 dengan secara terlebih dahulu mengirimkan informasi host ke server sebelum menerima konfigurasi tugas.
Bukan itu saja. Kunci enkripsi yang digunakan untuk komunikasi klien-ke-server dimasukkan ke dalam biner, sebagai lawan mengambilnya secara dinamis dari server. Selain itu, pencuri telah ditemukan meluncurkan proses krom baru dengan–remote-debugging-port =
“Adopsi karat dalam pengembangan malware ini mencerminkan tren yang berkembang di antara para aktor ancaman yang ingin memanfaatkan fitur bahasa modern untuk peningkatan stealth, stabilitas, dan ketahanan terhadap alur kerja analisis tradisional dan mesin deteksi ancaman,” kata perusahaan itu.
Pengungkapan ini datang ketika C/Sisi mengungkapkan detail kampanye ClickFix yang menargetkan banyak platform, seperti Apple MacOS, Android, dan iOS, menggunakan teknik seperti pengalihan berbasis browser, petunjuk UI palsu, dan teknik unduhan drive-by.
Rantai serangan dimulai dengan JavaScript yang dikaburkan yang di -host di situs web, bahwa ketika dikunjungi dari MacOS, memulai serangkaian pengalihan ke halaman yang memandu para korban untuk meluncurkan Terminal dan menjalankan skrip shell, yang mengarah pada pengunduhan malware pencuri yang telah ditandai dengan Virustotal sebagai pencuri macOS atomik (AMOS).
Namun, kampanye yang sama telah dikonfigurasi untuk memulai skema unduhan drive-by ketika mengunjungi halaman web dari perangkat Android, iOS, atau Windows, yang mengarah ke penyebaran malware Trojan lain.
Pengungkapan bertepatan dengan munculnya keluarga pencuri malware baru seperti Katz Stealer dan AppleProcessHub Stealer masing -masing menargetkan jendela dan macOS, dan mampu memanen berbagai informasi dari host yang terinfeksi, menurut Nextron dan Kandji.
Pencuri Katz, seperti EddiesteAler, direkayasa untuk menghindari enkripsi yang terikat APP Chrome, tetapi dengan cara yang berbeda dengan menggunakan injeksi DLL untuk mendapatkan kunci enkripsi tanpa hak istimewa administrator dan menggunakannya untuk mendekripsi cookie terenkripsi dan kata sandi dari browser berbasis kromium.
“Penyerang menyembunyikan javascript berbahaya dalam file GZIP, yang, bila dibuka, memicu pengunduhan skrip PowerShell,” kata Nextron. “Script ini mengambil muatan loader berbasis .NET, yang menyuntikkan pencuri ke dalam proses yang sah. Setelah aktif, ia mengekspiltrat mencuri data ke server perintah dan kontrol.”
AppleProcessHub Stealer, di sisi lain, dirancang untuk mengeksfiltrasi file pengguna termasuk riwayat bash, riwayat zsh, konfigurasi github, informasi ssh, dan gantungan kunci iCloud.
Urutan Serangan Distributing Malware mensyaratkan penggunaan biner Mach-O yang mengunduh skrip pencuri bash tahap kedua dari server “AppleProcessHub[.]com “dan menjalankannya, hasilnya kemudian dikeluarkan kembali ke server C2. Rincian malware pertama kali dibagikan oleh Malwarehunterteam pada 15 Mei 2025, dan oleh Moonlock Lab MacPaw minggu lalu.
“Ini adalah contoh dari Mach-O yang ditulis dalam Objective-C yang berkomunikasi dengan server perintah dan kontrol untuk menjalankan skrip,” kata peneliti Kandji, Christopher Lopez.
