Yeni bir kötü amaçlı yazılım kampanyası, sahte captcha doğrulama sayfaları aracılığıyla başlatılan popüler ClickFix Sosyal Mühendislik taktikini kullanarak EddiesTealer olarak adlandırılan yeni bir pas tabanlı bilgi çalıcı dağıtıyor.
Elastik güvenlik laboratuvarları araştırmacısı Jia Yu Chan, bir analizde, “Bu kampanya, kullanıcıları, nihayetinde infostealer’ı dağıtan, kimlik bilgileri, tarayıcı bilgileri ve kripto para cüzdanı detayları gibi hassas verileri hasat eden kötü niyetli bir PowerShell komut dosyası yürütmeye yönlendiren aldatıcı captcha doğrulama sayfalarından yararlanıyor.” Dedi.
Saldırı zincirleri, site ziyaretçilerini “olmadığını kanıtlamaya teşvik eden sahte captcha çek sayfalarına hizmet veren kötü amaçlı javascript yükleri ile meşru web sitelerini tehlikeye atan tehdit aktörleriyle başlar. [a] Robot “Üç aşamalı bir işlemi takip ederek, ClickFix adı verilen yaygın bir taktik.
Bu, potansiyel kurbanın Windows Run iletişim istemini açmasını öğretmeyi, zaten kopyalanmış bir komutu “Doğrulama penceresine” (yani, çalışma iletişim kutusuna) yapıştırmayı ve Enter tuşuna basın. Bu, gizlenmiş PowerShell komutunun yürütülmesine neden olur ve harici bir sunucudan bir sonraki aşamalı yükün alınmasına neden olur (“LLLL[.]yerleştirmek”).
JavaScript yükü (“gVerify.js”) daha sonra kurbanın indirme klasörüne kaydedilir ve CScript kullanılarak gizli bir pencerede yürütülür. Ara komut dosyasının temel amacı, Eddiestealer ikili ikili aynı uzak sunucudan almak ve Pseudorandom 12 karakterli bir dosya adıyla indirmeler klasöründe saklamaktır.
Rust ile yazılan Eddiestealer, sistem meta verilerini toplayabilen, bir komut ve kontrol (C2) sunucusundan görevler alabilen bir emtia çalma kötü amaçlı yazılımdır ve enfekte ana bilgisayardan ilginin sifon verilerini alabilen. Eksfiltrasyon hedefleri arasında kripto para cüzdanları, web tarayıcıları, şifre yöneticileri, FTP istemcileri ve mesajlaşma uygulamaları bulunur.
Elastik, “Bu hedefler, C2 operatörü tarafından yapılandırılabildikleri için değişebilir.” “EddiesTealer daha sonra CreateFilew, GetFilesizeex, Readfile ve CloseHandle gibi Standart Kernel32.dll işlevlerini kullanarak hedeflenen dosyaları okur.”
Toplanan ana bilgisayar bilgileri şifrelenir ve her görevin tamamlanmasından sonra ayrı bir HTTP sonrası isteğinde C2 sunucusuna iletilir.
Dize şifrelemesini dahil etmenin yanı sıra, kötü amaçlı yazılım, API çağrılarını çözmek için özel bir Winapi arama mekanizması kullanır ve herhangi bir zamanda yalnızca bir sürümün çalıştığından emin olmak için bir muteks oluşturur. Ayrıca, kum havuzu ortamında yürütülüp yürütülmediğini belirlemek için kontroller içerir ve eğer öyleyse kendini diskten siler.
Elastik, “Latrodectus’ta gözlemlenen benzer bir kişisel aşınma tekniğine dayanarak, EddiesTealer, NTFS alternatif veri akışları yeniden adlandırma, dosya kilitlerini atlamak için kendini silebilir.”
Stealer’da yerleşik olan bir diğer dikkat çekici özellik, çerezler gibi şifrelenmemiş hassas verilere erişim elde etmek için Chromium’un uygulamaya bağlı şifrelemesini atlama yeteneğidir. Bu, krom bazlı tarayıcıların hafızasından çerezleri ve kimlik bilgilerini dökebilen açık kaynaklı bir araç olan ChromeKatz’ın pas uygulaması eklenerek gerçekleştirilir.
ChromeKatz’ın pas versiyonu, hedeflenen krom tarayıcının çalışmadığı senaryoları işlemek için değişiklikleri de içerir. Bu gibi durumlarda, “-Window-Position = -3000, -3000, -3000 https://google.com” komut satırı bağımsız değişkenlerini kullanarak yeni bir tarayıcı örneği ortaya çıkarır, “yeni pencereyi etkili bir şekilde ekran dışı konumlandırır ve kullanıcıya görünmez hale getirir.
Tarayıcıyı açarken amaç, kötü amaçlı yazılımın “-utility-sub-type = network.mojom.networkservice” bayrağı ile tanımlanan Chrome’un ağ hizmeti alt süreçiyle ilişkili belleği okumasını sağlamaktır ve nihayetinde kimlik bilgilerini çıkarır.
Elastik, çalışma süreçleri, GPU bilgileri, CPU çekirdek sayısı, CPU adı ve CPU satıcısının hasat özellikleriyle kötü amaçlı yazılım sürümlerini de belirlediğini söyledi. Buna ek olarak, yeni varyantlar, görev yapılandırmasını almadan önce ana bilgisayar bilgilerini sunucuya önleyici olarak göndererek C2 iletişim modelini değiştirir.
Hepsi bu değil. İstemciden sunucuya iletişim için kullanılan şifreleme anahtarı, sunucudan dinamik olarak almak yerine ikili içine sabit kodlanmıştır. Ayrıca, stealer’ın -Remote-Debugging-Port = ile yeni bir krom süreci başlattığı bulunmuştur.
Şirket, “Kötü amaçlı yazılım gelişiminde bu paslanmanın benimsenmesi, geleneksel analiz iş akışlarına ve tehdit algılama motorlarına karşı gelişmiş gizlilik, istikrar ve esneklik için modern dil özelliklerinden yararlanmak isteyen tehdit aktörleri arasında artan bir eğilimi yansıtıyor.” Dedi.
Açıklama, tarayıcı tabanlı yeniden yönlendirme, sahte kullanıcı arayüzü istemleri ve sürücü by indirme teknikleri gibi teknikler kullanarak Apple macOS, Android ve iOS gibi birden fazla platformu hedefleyen bir ClickFix kampanyasının C/tarafı açıklanmış ayrıntılarını ortaya çıkarır.
Saldırı zinciri, bir web sitesinde barındırılan, macOS’tan ziyaret edildiğinde, kurbanları terminal başlatmaya ve virustotal üzerinde atomik MacOS stealer (amos) olarak işaretleyen bir çalma kötü amaçlı yazılımının indirilmesine yol açan bir sayfaya bir dizi yönlendirme başlatan bir web sitesinde barındırılan gizlenmiş bir JavaScript ile başlar.
Ancak, aynı kampanya, bir Android, iOS veya Windows aygıtından web sayfasını ziyaret ederken, başka bir Truva Mal-yazılımının dağıtılmasına yol açan bir sürücü indirme şeması başlatacak şekilde yapılandırılmıştır.
Açıklamalar, Nextron ve Kandji’ye göre, Windows ve MacOS’u hedefleyen Katz Stealer ve AppleProcesshub Stealer gibi yeni stealer kötü amaçlı yazılım ailelerinin ortaya çıkmasıyla çakışıyor ve enfekte konakçılardan çok çeşitli bilgi toplayabilir.
Katz Stealer, EddiesTealer gibi, Chrome’un uygulamaya bağlı şifrelemesini atlatmak için tasarlanmıştır, ancak yönetici ayrıcalıkları olmadan şifreleme anahtarını elde etmek için DLL enjeksiyonu kullanarak farklı bir şekilde kullanılır ve kromyum bazlı tarayıcılardan şifreli çerezleri ve şifreleri çözmek için kullanır.
Nextron, “Saldırganlar, açıldığında bir PowerShell betiğinin indirilmesini tetikleyen GZIP dosyalarında kötü niyetli javascript gizliyorlar.” Dedi. “Bu komut dosyası, çalmayı meşru bir sürece enjekte eden .NET tabanlı bir yükleyici yükü alır. Etkin olduktan sonra, çalınan verileri komut ve kontrol sunucusuna püskürtür.”
AppleProcesshub Stealer ise, Bash geçmişi, ZSH geçmişi, GitHub yapılandırmaları, SSH bilgileri ve iCloud Keychain dahil olmak üzere kullanıcı dosyalarını yaymak için tasarlanmıştır.
Kötü amaçlı yazılım dağıtan saldırı dizileri, “AppleProcesshub” sunucusundan ikinci aşamalı bir Bash Stealer komut dosyasını indiren bir Mach-O ikili kullanımını gerektirir[.]com “ve daha sonra sonuçları C2 sunucusuna geri döndürülen çalıştırıyor. Kötü amaçlı yazılım ayrıntıları ilk olarak 15 Mayıs 2025’te MalwareHunterTeam ve geçen hafta Macpaw Moonlock Lab tarafından paylaşıldı.
Kandji araştırmacısı Christopher Lopez, “Bu, Objective-C’de yazılmış bir Mach-O örneğidir ve komut dosyalarını yürütmek için bir komut ve kontrol sunucusu ile iletişim kurar.” Dedi.