网络安全公司Elastic Security Labs发现了一种名为EDDIETEALER的新型信息窃取者恶意软件,该软件使用Rust语言开发,专门用于获取个人数据,如密码、浏览器信息和计算机凭据。
攻击手法
为了吸引受害者,黑客在恶意网站上伪造了“我不是机器人”的验证码弹窗。虚假页面引导用户粘贴一条PowerShell命令,该命令将秘密运行一个恶意PowerShell脚本,以下载第二个脚本,并最终保存EDDIETEALER的Rust二进制文件。
恶意软件功能
该恶意软件会解密其隐蔽核心,秘密加载Windows功能,并创建黑客的服务器以完成一系列任务。它能够扫描计算机,寻找与加密相关的文件(如钱包配置文件、JSON密钥等),并有可能提取私钥、种子短语及钱包密码。通过这种方式,攻击者可以轻松耗尽受害者的钱包。
规避安全措施
基于Chromium的浏览器通常会加密用户的敏感数据,如密码和会话令牌,但EDDIETEALER借助ChromeKatz工具能够绕过此加密。该工具可以访问浏览器内存并提取敏感数据。
在窃取不幸受害者的数据后,恶意软件会自我删除,以掩盖其踪迹。
