Новая версия вредоносного ПО RedLine распространяется как поддельный счетчик статистики Omicron

0
TrickBot теперь вызывает сбой браузеров исследователей, чтобы заблокировать анализ вредоносного ПО

Новый вариант похитителя информации RedLine распространяется по электронной почте с использованием поддельного приложения-счетчика статистики COVID-19 Omicron в качестве приманки.

RedLine — широко распространенное вредоносное ПО, которое продается киберпреступникам за пару сотен долларов. Он снабжает рынки даркнета более чем половиной украденных учетных данных пользователей, проданных другим злоумышленникам.

Вредоносная программа активно разрабатывается и постоянно совершенствуется с широким распространением с использованием различных методов распространения .

RedLine нацелен на учетные данные учетной записи пользователя, хранящиеся в браузере, пароли VPN, данные кредитной карты, файлы cookie, содержимое IM, учетные данные FTP, данные криптовалютного кошелька и системную информацию.

Самый последний вариант был замечен аналитиками Fortinet, которые заметили несколько новых функций и улучшений в дополнение к функциональности, которая уже похищала информацию.

Ориентация на дополнительные данные

В новом варианте добавлено еще несколько информационных точек для эксфильтрации, таких как:

  • Название видеокарты
  • Производитель BIOS, идентификационный код, серийный номер, дата выпуска и версия
  • Производитель дисковода, модель, общее количество головок и подпись
  • Информация о процессоре (ЦП), такая как уникальный идентификатор, идентификатор процессора, производитель, имя, максимальная тактовая частота и информация о материнской плате.

Эти данные извлекаются при первом запуске приманки «Omicron Stats.exe», которая распаковывает вредоносное ПО и внедряет его в vbc.exe.

Дополнительные приложения, на которые нацелен новый вариант RedLine, — это веб-браузер Opera GX, OpenVPN и ProtonVPN.

Предыдущие версии RedLine были нацелены на обычную Opera, но GX — это специальное издание, ориентированное на геймеров, популярность которого растет. 

Кроме того, теперь вредоносное ПО ищет в папках Telegram изображения и истории разговоров и отправляет их обратно на серверы злоумышленников.

Наконец, локальные ресурсы Discord подвергаются более тщательной проверке для обнаружения и кражи токенов доступа, журналов и файлов базы данных.

Характеристики кампании

Анализируя новую кампанию, исследователи обнаружили IP-адрес в Великобритании, который связывался с сервером управления и контроля через службу обмена сообщениями Telegram.

Жертвы разбросаны по 12 странам, и атака не нацелена на конкретные организации или отдельных лиц.

«Этот вариант использует 207[.]32.217.89 в качестве C2-сервера через порт 14588. Этот IP-адрес принадлежит 1gservers», — поясняется в  отчете Fortinet.

«В течение нескольких недель после того, как этот вариант был выпущен, мы заметили, что один IP-адрес (149[.]154.167.91) взаимодействует, в частности, с этим C2-сервером».

Поскольку это новая версия RedLine, мы, вероятно, скоро увидим, как другие злоумышленники перенимают ее. 

Предыдущая статьяRazer убирает класс N95 из рекламы масок Zephyr
Следующая статьяВторник исправлений Microsoft за январь 2022 г. исправляет 6 нулевых дней, 97 недостатков

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь