Una reciente campaña de malware está distribuyendo un sofisticado ladrón de información desarrollado en Rust, conocido como EDDIESTEALER, mediante la popular técnica de ingeniería social ClickFix, que comienza a través de páginas de verificación CAPTCHA falsas.
“Esta operación utiliza portales CAPTCHA engañosos para incitar a los usuarios a ejecutar un script malicioso de PowerShell. Dicho script finalmente despliega el malware, recolectando información sensible como credenciales, datos del navegador y detalles de billeteras de criptomonedas”, explicó Jia Yu Chan, investigador de Elastic Security Labs.
El vector de ataque inicia cuando actores maliciosos comprometen sitios legítimos, inyectando cargas útiles de JavaScript que presentan páginas CAPTCHA fraudulentas. Estas invitan a los visitantes a “demostrar que no son robots” siguiendo un proceso de tres pasos característico de ClickFix.
Este método instruye al usuario a abrir el cuadro de diálogo “Ejecutar” de Windows, pegar un comando proporcionado, y presionar Enter. Al hacerlo, se ejecuta un comando PowerShell ofuscado que descarga una segunda carga útil desde un servidor externo (“llll[.]fit”).
Posteriormente, un archivo JavaScript denominado gverify.js se guarda en la carpeta de Descargas del usuario y se ejecuta discretamente mediante cscript. Su propósito principal es descargar el binario de EDDIESTEALER desde el mismo servidor y almacenarlo con un nombre aleatorio de 12 caracteres en dicha carpeta.
EDDIESTEALER, escrito en Rust, es un malware de tipo stealer diseñado para recolectar metadatos del sistema, recibir instrucciones desde un servidor C2 (comando y control) y extraer datos valiosos del sistema infectado. Entre sus objetivos están wallets de criptomonedas, navegadores, administradores de contraseñas, clientes FTP y apps de mensajería.
Elastic aclara que estos objetivos pueden modificarse dinámicamente por el operador C2. Para leer archivos, EDDIESTEALER utiliza funciones estándar de la API de Windows como CreateFileW, GetFileSizeEx, ReadFile y CloseHandle.
Una vez recolectada, la información del sistema se cifra y se transmite al servidor C2 mediante solicitudes HTTP POST individuales tras cada tarea.
Además, el malware incluye cifrado de cadenas, un resolvedor personalizado de llamadas a la API mediante WinAPI, y un mecanismo mutex para evitar múltiples ejecuciones simultáneas. También incorpora mecanismos anti-análisis que, al detectar entornos virtuales, desencadenan su autodestrucción.
Elastic también señala que EDDIESTEALER puede eliminarse automáticamente utilizando técnicas observadas previamente en Latrodectus, como el renombramiento de flujos de datos alternativos (NTFS ADS) para evadir bloqueos de archivos.
Una capacidad destacada del malware es la evasión del cifrado de aplicaciones Chromium, permitiendo el acceso a datos sensibles como cookies en texto plano. Esto se logra mediante una implementación en Rust de ChromeKatz, una herramienta de código abierto capaz de extraer credenciales y cookies directamente desde la memoria de navegadores basados en Chromium.
La versión Rust de ChromeKatz incluso contempla escenarios donde el navegador objetivo no está activo: en esos casos, lanza una nueva instancia de Chrome con los argumentos --window-position=-3000,-3000 https://google.com, ubicándola fuera de la vista del usuario.
Esto permite al malware acceder a la memoria del proceso asociado al servicio de red de Chrome (identificado por el parámetro -utility-sub-type=network.mojom.NetworkService) y extraer credenciales.
Elastic ha detectado versiones más recientes de EDDIESTEALER que recopilan información adicional del sistema, como procesos activos, especificaciones de GPU, número de núcleos del CPU, y nombre y fabricante del procesador. Además, estas variantes modifican la comunicación C2, enviando los datos del host al servidor antes de recibir instrucciones.
Otra evolución observada es que la clave de cifrado para la comunicación C2 está embebida en el binario, eliminando la necesidad de recuperarla dinámicamente. También se descubrió que el malware lanza una nueva instancia de Chrome con el parámetro --remote-debugging-port=<port_num>, activando el protocolo DevTools a través de WebSocket para interactuar con el navegador sin intervención del usuario.
Elastic concluye que el uso de Rust en la creación de malware refleja una tendencia al alza entre los atacantes, quienes buscan aprovechar las ventajas del lenguaje —como mayor estabilidad, evasión de análisis y resistencia a la detección— para desarrollar amenazas más sofisticadas.
La divulgación de esta amenaza coincide con otra campaña ClickFix revelada por c/side, la cual apunta a múltiples plataformas (macOS, Android e iOS) utilizando redirecciones web, interfaces falsas y descargas automáticas.
En macOS, la campaña inicia con un JavaScript ofuscado alojado en un sitio web, que redirige a una página donde se instruye a las víctimas a abrir Terminal y ejecutar un script de shell, lo que descarga un malware identificado en VirusTotal como Atomic macOS Stealer (AMOS).
Cuando el mismo sitio es visitado desde dispositivos Android, iOS o Windows, se activa un mecanismo de descarga automática que despliega una variante diferente del malware, clasificada como troyano.
Paralelamente, nuevas familias de stealers como Katz Stealer (Windows) y AppleProcessHub Stealer (macOS) han emergido, según informes de Nextron y Kandji.
Katz Stealer, al igual que EDDIESTEALER, evade el cifrado de Chrome, pero mediante técnicas distintas: utiliza inyección de DLL para obtener la clave de cifrado sin requerir privilegios elevados y descifrar cookies y contraseñas almacenadas.
En su modus operandi, los atacantes ocultan JavaScript malicioso en archivos .gzip, que al ser abiertos, ejecutan un script de PowerShell que descarga una carga útil en .NET. Esta se inyecta en un proceso legítimo, desde donde roba información y la envía al C2.
Por su parte, AppleProcessHub Stealer filtra información sensible del usuario en macOS, como historiales de bash/zsh, configuraciones de GitHub, claves SSH y elementos del llavero de iCloud.
Este malware se distribuye mediante un binario Mach-O que descarga y ejecuta un segundo script desde appleprocesshub[.]com, enviando los resultados al servidor C2. Los primeros reportes sobre esta amenaza fueron publicados por MalwareHunterTeam el 15 de mayo de 2025, y posteriormente por Moonlock Lab de MacPaw.
“Se trata de un binario Mach-O escrito en Objective-C, diseñado para interactuar con un servidor C2 y ejecutar scripts maliciosos”, concluyó Christopher López, investigador de Kandji.
Fuente: thehackernews.com
