Pernahkah kamu merasa curiga saat diminta untuk memecahkan CAPTCHA yang terlalu mudah? Mungkin saja kamu sedang berinteraksi dengan EDDIESTEALER, si pencuri data baru yang licik. Jangan panik dulu, kita akan bahas tuntas!
CAPTCHA Abal-Abal: Gerbang Menuju Petaka
EDDIESTEALER menyebar melalui domain web yang dikendalikan penjahat, menyamar sebagai CAPTCHA yang meyakinkan. Tampilannya dibuat semirip mungkin dengan CAPTCHA asli, lengkap dengan frasa seperti "Verify you are a human" atau "I'm not a robot". Tujuannya? Membuatmu lengah dan mengklik!
Awalnya, kamu akan melihat fake "I'm not a robot" page. Saat kamu berinteraksi, sebuah perintah PowerShell jahat disalin ke clipboard. Kamu kemudian akan diminta untuk membukanya di Windows Run dan voila!, malware diunduh secara diam-diam. Sangat pintar, bukan? Sayangnya, pintar tapi jahat.
EDDIESTEALER: Si Rust yang Mencuri
EDDIESTEALER ditulis dalam bahasa Rust, yang membuatnya lebih sulit dideteksi dan dianalisis dibandingkan malware berbasis C. Ini seperti memilih mobil sport untuk kabur dari kejaran polisi. Dengan Rust, si pencuri data ini lebih stealth, stabil, dan tahan banting terhadap deteksi tradisional.
Malware ini menggunakan berbagai teknik obfuscation dan anti-analysis. String penting dienkripsi dengan XOR cipher, dan setiap dekripsi memerlukan fungsi key derivation khusus. Ditambah lagi, symbol-nya di-stripped dan menggunakan rustbinsign untuk Rust signature generation, yang semakin mempersulit analisis statis. Selain itu, mutex unik dibuat untuk setiap sampel, memastikan hanya satu instance yang berjalan pada satu waktu.
Takut Sandbox? Santai Dulu…
EDDIESTEALER juga pintar menghindari sandbox. Dia akan memeriksa apakah sistem memiliki setidaknya 4.0 GB memori. Jika tidak, dia akan langsung menghapus dirinya sendiri. Cara menghapusnya pun unik: menggunakan NTFS Alternate Data Streams renaming untuk menghindari file locks. Ini seperti sulap, now you see me, now you don't!
Setelah dieksekusi, malware ini mendekripsi data konfigurasi dan berkomunikasi dengan server Command and Control (C2) nya. Konfigurasinya, yang diterima melalui HTTP (bukan HTTPS – big no-no!), dienkripsi AES CBC dan di-Base64 encode. Isinya mencakup Session ID, daftar tugas exfiltration, communication keys, dan self-delete flag.
Data yang dicuri oleh EDDIESTEALER sangat beragam: kredensial, data browser, informasi dompet cryptocurrency, data dari password managers, aplikasi messaging, dan klien FTP. Target spesifiknya ditentukan oleh server C2 dan dapat disesuaikan oleh operator. Jadi, data kamu benar-benar jadi incaran.
Mengintai di Balik Chromium: Mencuri Cookie dengan Gaya
EDDIESTEALER memiliki kemampuan mencuri kredensial browser, bahkan pada versi modern Chromium. Malware ini menerapkan logika khusus browser, reimplementing solusi open source seperti ChromeKatz dalam Rust. Caranya? Dengan spawning off-screen browser processes dan memanfaatkan Chrome DevTools Protocol melalui remote debugging ports. Ini seperti peretas profesional yang tahu semua celah keamanan.
Perkembangan EDDIESTEALER: Semakin Canggih, Semakin Menakutkan
Varian terbaru EDDIESTEALER memiliki kemampuan tambahan, seperti mengumpulkan informasi GPU, proses yang berjalan, detail CPU, dan mengubah urutan komunikasi C2. Sampel yang lebih baru sekarang mengirimkan informasi sistem ke server sebelum meminta konfigurasinya, dan hardcoded AES keys telah menggantikan yang sebelumnya dikirim oleh server C2. Advanced inlining of functions, fitur LLVM, juga hadir dalam sampel yang lebih baru, yang membuat isolasi kode lebih menantang bagi analis.
Jejak Digital: Dari Mana Asalnya?
Selama analisis, Elastic Security Labs mengidentifikasi setidaknya 15 sampel EDDIESTEALER melalui kemiripan kode dan koneksi infrastruktur. Forensik menghubungkan malware payloads ke beberapa domain C2 dan intermediary, termasuk llll[.]fit, shiglimugli[.]xyz, xxxivi[.]com, dan lainnya. Jadi, waspadalah terhadap domain-domain mencurigakan!
MITRE ATT&CK: Jurus Andalan Sang Pencuri Data
EDDIESTEALER memanfaatkan taktik dan teknik yang terdokumentasi dalam kerangka kerja MITRE ATT&CK. Ini termasuk akses awal melalui phishing dan content injection, command and scripting interpreters, user execution, exfiltration over C2 channels, credential access, dan strategi evasion. Dia bermain sesuai buku, tapi bukunya buku penjahat.
Tips Analisis: Mengungkap Rahasia EDDIESTEALER
Analisis EDDIESTEALER bukannya tanpa tantangan. Stack slot reuse dan enum-based error handling dalam Rust dapat menghambat static disassembly dan binary examination. Namun, keberadaan metadata "panic" Rust dalam binaries membantu dalam segmentasi dan pemetaan kode ke modul malware tertentu, asalkan metadata tersebut belum di-stripped selama kompilasi.
Elastic Security Labs telah merilis aturan YARA, serta behavioural prevention signatures, untuk membantu profesional keamanan dalam mendeteksi aktivitas EDDIESTEALER. Ini termasuk aturan untuk eksekusi PowerShell yang mencurigakan, penemuan data browser, transfer alat ingress melalui PowerShell, dan potensi penghapusan sendiri executables yang sedang berjalan. Gunakan ini sebagai senjata andalanmu!
Intinya, EDDIESTEALER adalah ancaman nyata yang perlu diwaspadai. Selalu berhati-hati dengan CAPTCHA yang mencurigakan, perbarui sistem keamananmu secara berkala, dan jangan lupa, stay paranoid, stay safe!
