Una nueva campaña de malware está distribuyendo un novedoso robador de información basado en el óxido denominado Eddiestealer utilizando la popular Táctica de Ingeniería Social de ClickFix iniciada a través de páginas de comprobación Captcha falsas.
«Esta campaña aprovecha las páginas de comprobación Captcha engañosas que engañan a los usuarios para ejecutar un script de Powershell pillo, que finalmente despliega el infostaler, cosecha datos confidenciales como credenciales, información de navegador y detalles de la billetera de criptomonedas», dijo el investigador de laboratorios de seguridad elásticos, Jia Yu Chean, en un estudio.
Las cadenas de ataque comienzan con los actores de amenaza que comprometen sitios web legítimos con cargas enseres de JavaScript maliciosas que sirven a las páginas de cheques de captcha falsos, que solicitan a los visitantes del sitio «demostrar que no es (a) androide» siguiendo un proceso de tres pasos, una táctica prevalente señal ClickFix.
Esto implica instruir a la víctima potencial para inaugurar el indicador de diálogo Run Windows, pegar un comando ya copiado en la «ventana de comprobación» (es opinar, el diálogo Ejecutar) y presione Entrar. Esto efectivamente hace que el comando de PowerShell ofuscado sea ejecutado, lo que resulta en la recuperación de una carga útil de la próxima etapa de un servidor forastero («LLLL (.) FIT»).
La carga útil de JavaScript («Gverify.js») se tutela seguidamente en la carpeta de descargas de la víctima y se ejecuta usando CScript en una ventana oculta. El objetivo principal del script intermedio es obtener el binario EddiDdiDeSsealer del mismo servidor remoto y almacenarlo en la carpeta de descargas con un nombre de archivo pseudorandom de 12 caracteres.
Escrito en Rust, EddiDeSpaler es un malware de robador de productos básicos que puede resumir metadatos del sistema, percibir tareas de un servidor de comando y control (C2) y datos de interés sifón del host infectado. Los objetivos de exfiltración incluyen billeteras de criptomonedas, navegadores web, administradores de contraseñas, clientes FTP y aplicaciones de transporte.
«Estos objetivos están sujetos a cambios, ya que el cirujano C2 los configuran», explicó Elastic. «Eddiestealer luego lee los archivos específicos utilizando funciones tipificado de kernel32.dll como CreateFileW, GetFileSizeX, ReadFile y CloseHandle».
La información del host recopilada se encripta y se transmite al servidor C2 en una solicitud de publicación HTTP separada posteriormente de la finalización de cada tarea.
Encima de incorporar el criptográfico de cadenas, el malware emplea un mecanismo de búsqueda de Winapi personalizado para resolver llamadas de API y crea un mutex para respaldar que solo una traducción se esté ejecutando en un momento entregado. Igualmente incorpora verificaciones para determinar si se está ejecutando en un entorno de sandboxed y, de ser así, se elimina del disco.
«Basado en una técnica de autoselección similar observada en Latrodectus, EddiDiDeLer es capaz de eliminarse a través de las secuencias de datos alternativas de NTFS que cambian de nombre, para evitar bloqueos de archivos», señaló Elastic.
Otra característica importante incorporada en el robador es su capacidad para evitar el criptográfico unido a la aplicación de Chromium para obtener comunicación a datos confidenciales no cifrados, como las cookies. Esto se logra al incluir una implementación de óxido de Chromekatz, una útil de código amplio que puede volcar cookies y credenciales de la memoria de los navegadores basados en cromo.
La traducción de óxido de Chromekatz además incorpora cambios para manejar escenarios en los que el navegador de cromo objetivo no se está ejecutando. En tales casos, genera una nueva instancia de navegador utilizando los argumentos de la secante de comandos «–Window-Position = -3000, -3000 https://google.com,» posicionando efectivamente la nueva ventana allá de la pantalla y haciendo su invisible para el beneficiario.
Al inaugurar el navegador, el objetivo es permitir que el malware lea la memoria asociada con el proceso de niños del servicio de red de Chrome identificado por el indicador «-Utilidad-sub-type = network.mojom.networkservice» y finalmente extrae las credenciales.
Elastic dijo que además identificó versiones actualizadas del malware con características para cosechar procesos de ejecución, información de GPU, número de núcleos de CPU, nombre de CPU y proveedor de CPU. Encima, las nuevas variantes ajustan el patrón de comunicación C2 enviando preventivamente la información del host al servidor antiguamente de percibir la configuración de la tarea.
Eso no es todo. La esencia de criptográfico utilizada para la comunicación de cliente a servidor está codificada en el binario, en superficie de recuperarla dinámicamente del servidor. Encima, se ha descubierto que el robador aguijada un nuevo proceso de Chrome con–Remote-DeBugging-Port =
«Esta acogida de óxido en el incremento de malware refleja una tendencia creciente entre los actores de amenaza que buscan exprimir las características del jerigonza nuevo para mejorar el sigilo, la estabilidad y la resistor contra los flujos de trabajo de estudio tradicionales y los motores de detección de amenazas», dijo la compañía.
La divulgación se produce cuando C/Side reveló detalles de una campaña de ClickFix que se dirige a múltiples plataformas, como Apple MacOS, Android e iOS, utilizando técnicas como redirecciones basadas en navegadores, indicaciones falsas de interfaz de beneficiario y técnicas de descarga de transmisión.
La cautiverio de ataque comienza con un JavaScript ofned alojado en un sitio web, que cuando se ve de MacOS, inicia una serie de redirecciones a una página que lazarillo a las víctimas a divulgar terminal y ejecutar un script de shell, lo que conduce a la descarga de un malware robador que ha sido traumatizado en Virustotal como el robador de macos atómico (amos).
Sin secuestro, la misma campaña se ha configurado para iniciar un esquema de descarga de transmisión al pasar revista la página web desde un dispositivo Android, iOS o Windows, lo que lleva a la implementación de otro malware troyano.
Las divulgaciones coinciden con la aparición de nuevas familias de malware de robador como Katz Stealer y AppleProcesshub Stealer apuntando a Windows y MacOS respectivamente, y son capaces de cosechar una amplia tono de información de hosts infectados, según Nextron y Kandji.
Katz Stealer, al igual que EddiDiDealer, está diseñado para eludir el criptográfico unido a la aplicación de Chrome, pero de una guisa diferente al gastar la inyección de DLL para obtener la esencia de criptográfico sin privilegios de administrador y usarlo para descifrar cookies y contraseñas cifradas de los navegadores basados en Chromium.
«Los atacantes ocultan JavaScript pillo en archivos GZIP, que, cuando se abren, activan la descarga de un script de PowerShell», dijo Nextron. «Este script recupera una carga útil de cargador basada en .NET, que inyecta al robador en un proceso genuino. Una vez activo, exfiltrata los datos de robo al servidor de comando y control».
AppleProcesshub Stealer, por otro costado, está diseñado para exfiltrar archivos de beneficiario, incluidos el historial de bash, el historial de ZSH, las configuraciones de GitHub, la información SSH y el argolla iCloud.
Las secuencias de ataque que distribuyen el malware implican el uso de un binario Mach-O que descarga un script de robo de bash de segunda etapa del servidor «AppleProcesshub (.) Com» y lo ejecuta, cuyos resultados se exfiltran cerca de el servidor C2. Los detalles del malware fueron compartidos por primera vez por el Malwarehunterteam el 15 de mayo de 2025, y por el Laboratorio de Restringido de MacPaw la semana pasada.
«Este es un ejemplo de un Mach-O escrito en Objective-C que se comunica con un servidor de comando y control para ejecutar scripts», dijo el investigador de Kandji Christopher López.
