MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Prove you're not a robot turns into full system breach


برمجية EDDIESTEALER الجديدة تتجاوز تشفير Chrome لاستخراج بيانات المتصفح الحساسة

تم رصد حملة خبيثة جديدة توزع برمجية تجسس حديثة تُدعى EDDIESTEALER، مكتوبة بلغة Rust، وذلك باستخدام حيلة هندسة اجتماعية تُعرف باسم ClickFix عبر صفحات تحقق CAPTCHA مزيفة.

وفقًا لتحليل شركة Elastic Security Labs، تبدأ الهجمة عبر صفحات CAPTCHA وهمية تطلب من المستخدمين تنفيذ خطوات تحقق، تتضمن فتح نافذة "تشغيل" في ويندوز ولصق أمر PowerShell مموه يُحمّل البرمجية من خادم خارجي llll[.]fit.

آلية الهجوم

يقوم المهاجمون بحقن JavaScript خبيث في مواقع شرعية لتوجيه الزوار إلى صفحة تحقق وهمية. عند اتباع التعليمات، يتم تحميل سكربت PowerShell، الذي بدوره ينزّل ملف gverify.js إلى مجلد التنزيلات ويشغله باستخدام cscript.

ثم يقوم السكربت بتنزيل ملف EDDIESTEALER التنفيذي إلى مجلد التنزيلات باسم عشوائي مكون من 12 حرفًا.

قدرات EDDIESTEALER

البرمجية قادرة على:

  • جمع بيانات النظام والمهام من خادم التحكم
  • سرقة بيانات من المحافظ الرقمية، المتصفحات، مديري كلمات المرور، عملاء FTP، وتطبيقات المراسلة
  • استخدام WinAPI بطرق مخصصة لتجاوز الكشف
  • إنشاء Mutex لمنع التشغيل المزدوج
  • اكتشاف بيئات التحليل (sandbox) وحذف نفسها تلقائيًا

اختراق تشفير Chrome

الميزة الأخطر في EDDIESTEALER هي قدرتها على تجاوز تشفير Chrome المرتبط بالتطبيق، والوصول إلى الكوكيز وكلمات المرور المخزنة.

تستخدم البرمجية إصداراً مخصصًا من أداة مفتوحة المصدر تُدعى ChromeKatz لقراءة بيانات المتصفح من الذاكرة. وإذا لم يكن المتصفح يعمل، تقوم البرمجية بتشغيله في نافذة غير مرئية باستخدام المعامل:

--window-position=-3000,-3000 https://google.com

ثم تقوم بالتواصل مع خدمة الشبكة الخاصة بكروم لاستخراج بيانات الجلسة وكلمات المرور.

إصدارات محدثة

كشفت Elastic أن إصدارات جديدة من EDDIESTEALER يمكنها جمع معلومات إضافية مثل:

  • العمليات النشطة
  • مواصفات المعالج وعدد الأنوية
  • معلومات بطاقة الرسوميات

كما ترسل هذه البيانات فورًا إلى خادم C2 قبل استلام الأوامر. البرمجية أيضًا تُطلق عملية جديدة للمتصفح باستخدام منفذ تصحيح عن بُعد لتفعيل بروتوكول DevTools والتحكم الكامل دون تدخل المستخدم.

موجة جديدة من برمجيات السرقة

جاء هذا الكشف تزامنًا مع حملات مشابهة تستخدم ClickFix لاستهداف أجهزة macOS وiOS وAndroid، حيث يتم خداع المستخدمين لتشغيل سكربتات shell تؤدي إلى تحميل برمجية AMOS أو برمجيات Trojan على الأنظمة المحمولة.

عائلات برمجيات أخرى

كشفت شركات مثل Nextron وKandji عن برمجيات جديدة، منها:

  • Katz Stealer: تستخدم حقن DLL لاستخراج مفاتيح التشفير من Chrome دون صلاحيات إدارية
  • AppleProcessHub Stealer: تستهدف ملفات المستخدم على macOS مثل سجل الطرفيات، مفاتيح SSH، وسجل iCloud

يتم توزيع هذه البرمجيات عبر ملفات gzip تحتوي على JavaScript مخفي، يقوم بتحميل سكربت PowerShell ثم ملف تنفيذ خبيث .NET يتم حقنه في عملية شرعية.

برمجية AppleProcessHub تُطلق سكربت Bash ثاني من الخادم appleprocesshub[.]com، وتعيد النتائج إلى خادم C2.

الاستنتاج

تعكس EDDIESTEALER وتطورات مشابهة تحولًا واضحًا في تطوير البرمجيات الخبيثة، حيث يستخدم المهاجمون لغات حديثة مثل Rust لزيادة الثبات والتخفي، وتجاوز آليات الحماية التقليدية، مستهدفين المتصفحات، الأدوات الحساسة، والبنية التحتية للنظام.