PCPress.rs Image
News 

Nova RedLine verzija malvera distribuira se kao lažni Omicron statistički brojač

Tijana Barašević

Stručnjaci upozoravaju na novu varijantu RedLine malvera koji se distribuira putem emaila kao lažna aplikacija za brojanje podataka o COVID-19 Omicron.

PCPress.rs Image

Napadači nisu ciljali određene organizacije ili pojedince

Malver RedLine omogućava operaterima da ukradu nekoliko informacija, uključujući akreditive, podatke o kreditnim karticama, kolačiće, autocomplete informacije uskladištene u browserima, novčanike za kriptovalute, akreditive uskladištene u VPN klijentima i FTP klijentima. Zlonamerni kod takođe može delovati kao malver u prvoj fazi. Ukradeni podaci se čuvaju u arhivi (logovi) pre nego što se otpreme na server pod kontrolom napadača. Nova varijanta koju je otkrio Fortinet ima naziv datoteke „Omicron Stats.exe“, jer akteri pretnji pokušavaju da iskoriste ogromno interesovanje na globalnom nivou za varijantu COVID-19 Omicron.

Prema FortiGuard Labs-u, potencijalne žrtve ove varijante RedLine Stealer-a nalaze se u najmanje 12 zemalja, što sugeriše da napadači nisu ciljali određene organizacije ili pojedince. Kao i druge kampanje malspam-a sa temom COVID-19, lanac infekcije počinje otvaranjem dokumenta koji se koristi kao prilog. Nakon izvršavanja Omicron Stats.exe, on raspakuje resurse šifrovane sa trostrukim DES-om koristeći ciphermode ECB i padding mode PKCS7. Zatim se raspakovani resursi ubrizgavaju u vbc.exe i kreira se scheduled task za uspostavljanje postojanosti. Nova varijanta implementira nekoliko novih funkcija, u stanju je da ukrade više informacija iz Windows Management Instrumentation (WMI) žrtve kao što su:

  • Naziv grafičke kartice
  • Proizvođača BIOS-a, identifikacioni kod, serijski broj, datum izdavanja i verzija
  • Proizvođača disk drajva, model, ukupne glave i potpis
  • Informacije o procesoru (CPU) kao što su jedinstveni ID, ID procesora, proizvođač, naziv, maksimalna clock brzina i informacije o matičnoj ploči
Pročitajte i:  Google: Malver zloupotrebe API je standardna krađa tokena, a ne problem API-ja

Nova varijanta RedLine traži sledeće stringove da bi locirala relevantne foldere za eksfiltraciju podataka:

  • wallet.dat (information related to cryptocurrency)
  • wallet (information related to cryptocurrency)
  • Login Data
  • Web Data
  • Cookies
  • Opera GX Stable
  • Opera GX

Zlonamerni softver takođe traži Telegram foldere da locira slike i istorije razgovora za krađu, a takođe se fokusira na Tokens.txt koji se koristi za pristup Discord-u. Ova varijanta koristi 207[.]32.217.89 kao svoj C2 server preko porta 14588. Stručnjaci spekulišu da će RedLine Stealer nastaviti da koristi prednosti tekuće pandemije COVID-a i da će ukradene informacije nastaviti da podstiču podzemna tržišta sajber kriminala.

Izvor: Securityaffairs

Facebook komentari:
SBB

Tagovi: , ,