Μια νέα παραλλαγή του RedLine info-stealer malware διανέμεται μέσω emails, που χρησιμοποιούν την μετάλλαξη Omicron του COVID-19 για να τραβήξουν την προσοχή των χρηστών.
Το RedLine είναι ένα αρκετά δημοφιλές κακόβουλο λογισμικό που βελτιώνεται συνεχώς και χρησιμοποιεί πολλαπλές μεθόδους διανομής.
Δείτε επίσης: Intezer: Το SysJoker backdoor στοχεύει Windows, Linux και macOS
Το RedLine στοχεύει account credentials που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, VPN passwords, cookies, FTP credentials, στοιχεία πιστωτικών καρτών, περιεχόμενο άμεσων μηνυμάτων, cryptocurrency wallet data και πληροφορίες συστήματος.
Η πιο πρόσφατη παραλλαγή του malware εντοπίστηκε από αναλυτές της Fortinet. Οι ερευνητές παρατήρησαν πολλά νέα χαρακτηριστικά και βελτιώσεις που έρχονται για να ενισχύσουν την υπάρχουσα δυνατότητα κλοπής πληροφοριών.
Η νέα παραλλαγή στοχεύει στην κλοπή περισσότερων δεδομένων
Η νέα παραλλαγή κλέβει περισσότερα στοιχεία από το αρχικό RedLine, όπως:
- Όνομα κάρτας γραφικών
- Κατασκευαστής BIOS, identification code, σειριακός αριθμός, ημερομηνία κυκλοφορίας και έκδοση
- Κατασκευαστής μονάδας δίσκου, μοντέλο και signature
- Πληροφορίες επεξεργαστή (CPU) όπως unique ID, processor ID, κατασκευαστής, όνομα, max clock speed και πληροφορίες motherboard
Αυτά τα δεδομένα λαμβάνονται κατά την πρώτη εκτέλεση του δολώματος “Omicron Stats.exe“, το οποίο κάνει unpack το κακόβουλο λογισμικό και γίνεται injection στο vbc.exe.
Δείτε επίσης: RedLine malware: Οι κωδικοί πρόσβασης δεν πρέπει να αποθηκεύονται σε browser
Οι πρόσθετες εφαρμογές που στοχεύει η νέα παραλλαγή RedLine είναι τα Opera GX web browser, OpenVPN και ProtonVPN.
Οι προηγούμενες εκδόσεις του RedLine στόχευαν το κανονικό Opera.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό αναζητά τώρα και τους φακέλους του Telegram για να εντοπίσει εικόνες και ιστορικά συνομιλιών και να τα στείλει στους servers που ελέγχονται από τους επιτιθέμενους.
Τέλος, οι τοπικοί πόροι του Discord ελέγχονται πιο δυναμικά για την ανακάλυψη και την κλοπή tokens, logs και database files.
Δείτε επίσης: Η ελληνική κυβέρνηση κατασκοπεύει τους πολίτες μέσω του Predator spyware;
Χαρακτηριστικά της καμπάνιας RedLine που εκμεταλλεύεται τη μετάλλαξη Omicron του COVID-19
- Οι ερευνητές βρήκαν μια διεύθυνση IP στη Μεγάλη Βρετανία που επικοινωνούσε με τον command and control server μέσω της υπηρεσίας μηνυμάτων Telegram.
- Τα θύματα προέρχονται από 12 χώρες και η επίθεση δεν επικεντρώνεται σε συγκεκριμένους οργανισμούς ή άτομα.
- Αυτή η παραλλαγή χρησιμοποιεί το 207[.]32.217.89 ως C2 server μέσω της θύρας 14588. Αυτή η IP ανήκει σε 1gservers.
“Κατά τη διάρκεια των λίγων εβδομάδων μετά την κυκλοφορία αυτής της παραλλαγής, παρατηρήσαμε ότι μια διεύθυνση IP (149[.]154.167.91) επικοινωνούσε συγκεκριμένα με αυτόν τον διακομιστή C2“, εξηγεί η Fortinet.
Δείτε περισσότερες λεπτομέρειες στην έκθεση της Fortinet.
Πηγή: Bleeping Computer