Търсене
Close this search box.

Нов вариант на RedLine Stealer използва Lua Bytecode за прикритие

Открита е нова програма за кражба на информация, която използва байткод Lua за по-голяма скритост и изтънченост, разкриват резултатите от McAfee Labs.

Фирмата за киберсигурност е преценила, че това е вариант на известен зловреден софтуер, наречен RedLine Stealer, поради факта, че IP адресът на сървъра за командване и контрол (C2) е бил идентифициран по-рано като свързан със зловредния софтуер.

RedLine Stealer, документиран за първи път през март 2020 г., обикновено се доставя чрез имейл и злонамерени рекламни кампании, директно или чрез комплекти за експлойти и зареждащи зловредни програми като dotRunpeX и HijackLoader.

Готовият за употреба зловреден софтуер е способен да събира информация от портфейли за криптовалути, VPN софтуер и уеб браузъри, като например запазени пълномощия, данни за автоматично попълване, информация за кредитни карти и геолокации въз основа на IP адресите на жертвите.

През годините RedLine Stealer е кооптиран от  заплахи в техните вериги за атаки, което го превръща в широко разпространен щам, обхващащ Северна Америка, Южна Америка, Европа, Азия и Австралия.

RedLine Stealer Variant

Идентифицираната от McAfee последователност на заразяване злоупотребява с GitHub, като използва две от официалните хранилища на Microsoft за имплементацията на стандартната библиотека C++(STL) и vcpkg, за да хоства заредения със зловреден софтуер полезен товар под формата на ZIP архиви.

Засега не е известно как файловете са попаднали в хранилището, но техниката е знак, че участниците в заплахите използват доверието, свързано с надеждни хранилища, за разпространение на зловреден софтуер. ZIP файловете вече не са достъпни за изтегляне от хранилищата на Microsoft.

ZIP архивът („Cheat.Lab.2.7.2.zip“ и „Cheater.Pro.1.6.0.zip“) се маскира като измама в игра, което показва, че геймърите вероятно са целта на кампанията. Тя е снабдена с инсталационен файл MSI, който е предназначен за стартиране на зловредния байткод Lua.

„Този подход осигурява предимството да се замаскират зловредните ужилвания и да се избегне използването на лесно разпознаваеми скриптове като wscript, JScript или PowerShell скрипт, като по този начин се увеличават възможностите за скриване и избягване на заплахите от страна на извършителя“, казват изследователите Мохансундарам М. и Нийл Тяги.

В опит да предаде зловредния софтуер на други системи инсталаторът MSI показва съобщение, което призовава жертвата да сподели програмата с приятелите си, за да получи отключена версия на софтуера.

Изпълнимият файл „compiler.exe“ в инсталатора, след като стартира байткода Lua, вграден във файла „readme.txt“, присъстващ в ZIP архива, установява постоянство на хоста с помощта на планирана задача и пуска CMD файл, който на свой ред стартира „compiler.exe“ под друго име „NzUw.exe“.

На последния етап „NzUw.exe“ започва комуникация със сървър за управление и контрол (C2) по HTTP, гореспоменатия IP адрес, приписан на RedLine.

Зловредният софтуер функционира по-скоро като задна врата, изпълнявайки задачи, получени от C2 сървъра (напр. правене на скрийншоти), и ексфилтрира резултатите обратно към него.

Точният метод, по който се разпространяват връзките към архивите ZIP, понастоящем не е известен. По-рано този месец Checkmarx разкри как заплахи се възползват от функционалността за търсене на GitHub, за да подмамят нищо неподозиращите потребители да изтеглят заредени със зловреден софтуер хранилища.

Разработката идва в момент, в който Recorded Future подробно описа „мащабна рускоезична киберпрестъпна операция“, която се фокусира върху общността на геймърите и използва фалшиви примамки за игри в Web3, за да достави зловреден софтуер, способен да открадне чувствителна информация от потребителите на macOS и Windows – техника, наречена фишинг с капани.

„Кампанията включва създаването на имитиращи проекти за игри Web3 с леки промени в името и марката, за да изглеждат легитимни, заедно с фалшиви акаунти в социалните медии, за да се засили тяхната автентичност“, заяви Insikt Group.

„Основните уебстраници на тези проекти предлагат изтегляния, които след инсталиране заразяват устройствата с различни видове зловреден софтуер „infostealer“, като Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys или RisePro, в зависимост от операционната система.“

Той следва и вълната от кампании за зловреден софтуер, насочени към корпоративни среди с товарачи като PikaBot и нов щам, наречен NewBot Loader.

„Във всяка кампания нападателите демонстрираха разнообразни техники и вектори на заразяване, като се стремяха да доставят полезния товар на PikaBot„, заяви McAfee.

Това включва фишинг атака, която се възползва от отвличане на имейл разговор и недостатък на Microsoft Outlook, наречен MonikerLink(CVE-2024-21413), за да подмами жертвите да изтеглят зловредния софтуер от SMB дял.

 

 

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
06/06/2024

Сериозна грешка в Atlassian...

Поради ролята, която Confluence Server играе...
01/06/2024

Приложение за генериране на...

Gipy – новооткрита кампания, използваща щам...
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!