Търсене
Close this search box.

Открита е нова програма за кражба на информация, която използва байткод Lua за по-голяма скритост и изтънченост, разкриват резултатите от McAfee Labs.

Фирмата за киберсигурност е преценила, че това е вариант на известен зловреден софтуер, наречен RedLine Stealer, поради факта, че IP адресът на сървъра за командване и контрол (C2) е бил идентифициран по-рано като свързан със зловредния софтуер.

RedLine Stealer, документиран за първи път през март 2020 г., обикновено се доставя чрез имейл и злонамерени рекламни кампании, директно или чрез комплекти за експлойти и зареждащи зловредни програми като dotRunpeX и HijackLoader.

Готовият за употреба зловреден софтуер е способен да събира информация от портфейли за криптовалути, VPN софтуер и уеб браузъри, като например запазени пълномощия, данни за автоматично попълване, информация за кредитни карти и геолокации въз основа на IP адресите на жертвите.

През годините RedLine Stealer е кооптиран от  заплахи в техните вериги за атаки, което го превръща в широко разпространен щам, обхващащ Северна Америка, Южна Америка, Европа, Азия и Австралия.

RedLine Stealer Variant

Идентифицираната от McAfee последователност на заразяване злоупотребява с GitHub, като използва две от официалните хранилища на Microsoft за имплементацията на стандартната библиотека C++(STL) и vcpkg, за да хоства заредения със зловреден софтуер полезен товар под формата на ZIP архиви.

Засега не е известно как файловете са попаднали в хранилището, но техниката е знак, че участниците в заплахите използват доверието, свързано с надеждни хранилища, за разпространение на зловреден софтуер. ZIP файловете вече не са достъпни за изтегляне от хранилищата на Microsoft.

ZIP архивът („Cheat.Lab.2.7.2.zip“ и „Cheater.Pro.1.6.0.zip“) се маскира като измама в игра, което показва, че геймърите вероятно са целта на кампанията. Тя е снабдена с инсталационен файл MSI, който е предназначен за стартиране на зловредния байткод Lua.

„Този подход осигурява предимството да се замаскират зловредните ужилвания и да се избегне използването на лесно разпознаваеми скриптове като wscript, JScript или PowerShell скрипт, като по този начин се увеличават възможностите за скриване и избягване на заплахите от страна на извършителя“, казват изследователите Мохансундарам М. и Нийл Тяги.

В опит да предаде зловредния софтуер на други системи инсталаторът MSI показва съобщение, което призовава жертвата да сподели програмата с приятелите си, за да получи отключена версия на софтуера.

Изпълнимият файл „compiler.exe“ в инсталатора, след като стартира байткода Lua, вграден във файла „readme.txt“, присъстващ в ZIP архива, установява постоянство на хоста с помощта на планирана задача и пуска CMD файл, който на свой ред стартира „compiler.exe“ под друго име „NzUw.exe“.

На последния етап „NzUw.exe“ започва комуникация със сървър за управление и контрол (C2) по HTTP, гореспоменатия IP адрес, приписан на RedLine.

Зловредният софтуер функционира по-скоро като задна врата, изпълнявайки задачи, получени от C2 сървъра (напр. правене на скрийншоти), и ексфилтрира резултатите обратно към него.

Точният метод, по който се разпространяват връзките към архивите ZIP, понастоящем не е известен. По-рано този месец Checkmarx разкри как заплахи се възползват от функционалността за търсене на GitHub, за да подмамят нищо неподозиращите потребители да изтеглят заредени със зловреден софтуер хранилища.

Разработката идва в момент, в който Recorded Future подробно описа „мащабна рускоезична киберпрестъпна операция“, която се фокусира върху общността на геймърите и използва фалшиви примамки за игри в Web3, за да достави зловреден софтуер, способен да открадне чувствителна информация от потребителите на macOS и Windows – техника, наречена фишинг с капани.

„Кампанията включва създаването на имитиращи проекти за игри Web3 с леки промени в името и марката, за да изглеждат легитимни, заедно с фалшиви акаунти в социалните медии, за да се засили тяхната автентичност“, заяви Insikt Group.

„Основните уебстраници на тези проекти предлагат изтегляния, които след инсталиране заразяват устройствата с различни видове зловреден софтуер „infostealer“, като Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys или RisePro, в зависимост от операционната система.“

Той следва и вълната от кампании за зловреден софтуер, насочени към корпоративни среди с товарачи като PikaBot и нов щам, наречен NewBot Loader.

„Във всяка кампания нападателите демонстрираха разнообразни техники и вектори на заразяване, като се стремяха да доставят полезния товар на PikaBot„, заяви McAfee.

Това включва фишинг атака, която се възползва от отвличане на имейл разговор и недостатък на Microsoft Outlook, наречен MonikerLink(CVE-2024-21413), за да подмами жертвите да изтеглят зловредния софтуер от SMB дял.

 

 

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
03/09/2024

RansomHub Ransomware Group ...

Заплахи, свързани с групата RansomHub, са...
24/08/2024

Хакерите вече използват инж...

Вълната от атаки, започнала през юли...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!