Il panorama della sicurezza informatica si trova di fronte a una nuova minaccia: EDDIESTEALER, un malware innovativo scritto in Rust, che sfrutta tecniche di ingegneria sociale avanzate per rubare dati sensibili dai browser, eludendo le recenti protezioni di Chrome come l’app-bound encryption. La diffusione di EDDIESTEALER avviene tramite la tattica ClickFix, che utilizza pagine CAPTCHA false per convincere l’utente a eseguire uno script PowerShell dannoso. Questo processo, apparentemente innocuo, porta invece al download e all’esecuzione di un payload malevolo, progettato per sottrarre credenziali, informazioni sui browser e dettagli di wallet di criptovalute.

Compromissione e raccolta dati

Gli attaccanti compromettono siti legittimi inserendo codice JavaScript malevolo che genera una finta verifica CAPTCHA. L’utente viene guidato ad aprire la finestra Esegui di Windows e incollare un comando pre-copiato, attivando così il download di uno script nascosto e, successivamente, del malware EDDIESTEALER. Una volta eseguito, il malware raccoglie dati di sistema, credenziali salvate, informazioni da wallet, password manager, client FTP e applicazioni di messaggistica. Questi dati vengono poi criptati e inviati a un server di comando e controllo, proteggendo la comunicazione grazie a una chiave codificata direttamente nel binario.

Tecniche di evasione e persistenza

EDDIESTEALER si distingue anche per la capacità di autodistruggersi, sfruttando tecniche di rinomina tramite NTFS Alternate Data Streams, che gli permettono di cancellarsi se rileva di essere in ambiente sandbox. Inoltre, integra una variante in Rust dell’open source ChromeKatz, che permette di accedere a cookie e credenziali anche quando il browser Chromium non è in esecuzione, lanciando una finestra di Chrome nascosta e fuori dallo schermo per estrarre i dati in modo invisibile all’utente.

Evoluzione dei malware stealer

L’evoluzione di EDDIESTEALER riflette la tendenza crescente dei criminali informatici a utilizzare linguaggi moderni come Rust, noti per stabilità e resilienza, per eludere i motori di analisi e le soluzioni di sicurezza tradizionali. In parallelo, sono emerse altre famiglie di stealer come Katz Stealer e AppleProcessHub Stealer, che sfruttano tecniche simili contro Windows e macOS, aggirando la crittografia dei browser tramite iniezione di DLL o l’esecuzione di script bash per trafugare dati sensibili degli utenti.

Queste campagne dimostrano come i cybercriminali siano sempre più abili nell’aggirare le difese dei browser e dei sistemi operativi, sfruttando l’ingegneria sociale e la programmazione avanzata per colpire utenti su ogni piattaforma.