Открита е нова програма за кражба на информация, която използва байткод Lua за по-голяма скритост и изтънченост, разкриват резултатите от McAfee Labs.
Фирмата за киберсигурност е преценила, че това е вариант на известен зловреден софтуер, наречен RedLine Stealer, поради факта, че IP адресът на сървъра за командване и контрол (C2) е бил идентифициран по-рано като свързан със зловредния софтуер.
RedLine Stealer, документиран за първи път през март 2020 г., обикновено се доставя чрез имейл и злонамерени рекламни кампании, директно или чрез комплекти за експлойти и зареждащи зловредни програми като dotRunpeX и HijackLoader.
Готовият за употреба зловреден софтуер е способен да събира информация от портфейли за криптовалути, VPN софтуер и уеб браузъри, като например запазени пълномощия, данни за автоматично попълване, информация за кредитни карти и геолокации въз основа на IP адресите на жертвите.
През годините RedLine Stealer е кооптиран от заплахи в техните вериги за атаки, което го превръща в широко разпространен щам, обхващащ Северна Америка, Южна Америка, Европа, Азия и Австралия.
Идентифицираната от McAfee последователност на заразяване злоупотребява с GitHub, като използва две от официалните хранилища на Microsoft за имплементацията на стандартната библиотека C++(STL) и vcpkg, за да хоства заредения със зловреден софтуер полезен товар под формата на ZIP архиви.
Засега не е известно как файловете са попаднали в хранилището, но техниката е знак, че участниците в заплахите използват доверието, свързано с надеждни хранилища, за разпространение на зловреден софтуер. ZIP файловете вече не са достъпни за изтегляне от хранилищата на Microsoft.
ZIP архивът („Cheat.Lab.2.7.2.zip“ и „Cheater.Pro.1.6.0.zip“) се маскира като измама в игра, което показва, че геймърите вероятно са целта на кампанията. Тя е снабдена с инсталационен файл MSI, който е предназначен за стартиране на зловредния байткод Lua.
„Този подход осигурява предимството да се замаскират зловредните ужилвания и да се избегне използването на лесно разпознаваеми скриптове като wscript, JScript или PowerShell скрипт, като по този начин се увеличават възможностите за скриване и избягване на заплахите от страна на извършителя“, казват изследователите Мохансундарам М. и Нийл Тяги.
В опит да предаде зловредния софтуер на други системи инсталаторът MSI показва съобщение, което призовава жертвата да сподели програмата с приятелите си, за да получи отключена версия на софтуера.
Изпълнимият файл „compiler.exe“ в инсталатора, след като стартира байткода Lua, вграден във файла „readme.txt“, присъстващ в ZIP архива, установява постоянство на хоста с помощта на планирана задача и пуска CMD файл, който на свой ред стартира „compiler.exe“ под друго име „NzUw.exe“.
На последния етап „NzUw.exe“ започва комуникация със сървър за управление и контрол (C2) по HTTP, гореспоменатия IP адрес, приписан на RedLine.
Зловредният софтуер функционира по-скоро като задна врата, изпълнявайки задачи, получени от C2 сървъра (напр. правене на скрийншоти), и ексфилтрира резултатите обратно към него.
Точният метод, по който се разпространяват връзките към архивите ZIP, понастоящем не е известен. По-рано този месец Checkmarx разкри как заплахи се възползват от функционалността за търсене на GitHub, за да подмамят нищо неподозиращите потребители да изтеглят заредени със зловреден софтуер хранилища.
Разработката идва в момент, в който Recorded Future подробно описа „мащабна рускоезична киберпрестъпна операция“, която се фокусира върху общността на геймърите и използва фалшиви примамки за игри в Web3, за да достави зловреден софтуер, способен да открадне чувствителна информация от потребителите на macOS и Windows – техника, наречена фишинг с капани.
„Кампанията включва създаването на имитиращи проекти за игри Web3 с леки промени в името и марката, за да изглеждат легитимни, заедно с фалшиви акаунти в социалните медии, за да се засили тяхната автентичност“, заяви Insikt Group.
„Основните уебстраници на тези проекти предлагат изтегляния, които след инсталиране заразяват устройствата с различни видове зловреден софтуер „infostealer“, като Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys или RisePro, в зависимост от операционната система.“
Той следва и вълната от кампании за зловреден софтуер, насочени към корпоративни среди с товарачи като PikaBot и нов щам, наречен NewBot Loader.
„Във всяка кампания нападателите демонстрираха разнообразни техники и вектори на заразяване, като се стремяха да доставят полезния товар на PikaBot„, заяви McAfee.
Това включва фишинг атака, която се възползва от отвличане на имейл разговор и недостатък на Microsoft Outlook, наречен MonikerLink(CVE-2024-21413), за да подмами жертвите да изтеглят зловредния софтуер от SMB дял.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.