據(jù)BleepingComputer消息，RedLine 信息竊取器的新變種正通過(guò)電子郵件進(jìn)行傳播，以COVID-19 Omicron 病例計(jì)數(shù)器應(yīng)用程序作為誘餌。

RedLine 是一種商業(yè)化信息竊取程序，通常以Chrome 、 Edge 和 Opera 等流行網(wǎng)絡(luò)瀏覽器為目標(biāo)實(shí)施攻擊活動(dòng)。

2020年3月，RedLine 首次出現(xiàn)在俄羅斯暗網(wǎng)上。目前，該程序在暗網(wǎng)以大約 200 美元的價(jià)格出售，暗網(wǎng)絡(luò)市場(chǎng)超過(guò)一半的被盜用戶(hù)憑證均由其提供。

該惡意軟件正在積極開(kāi)發(fā)和不斷改進(jìn)，并使用多種分發(fā)方式進(jìn)行廣泛部署 。

RedLine 的目標(biāo)是存儲(chǔ)在瀏覽器上的用戶(hù)賬戶(hù)憑證、虛擬專(zhuān)用網(wǎng)密碼、信用卡詳細(xì)信息、cookies、IM內(nèi)容、FTP憑證、加密貨幣錢(qián)包數(shù)據(jù)和系統(tǒng)信息。

RedLine 的最新變體由Fortinet 分析師發(fā)現(xiàn)，相較于之前版本，新變體在信息竊取功能的基礎(chǔ)上，做了改進(jìn)并增加了幾項(xiàng)新的功能。

竊取信息的目標(biāo)范圍更廣

新變種添加了更多信息點(diǎn)以進(jìn)行滲出，例如：

• 顯卡名稱(chēng)
• BIOS 制造商、識(shí)別碼、序列號(hào)、發(fā)布日期和版本
• 磁盤(pán)驅(qū)動(dòng)器制造商、型號(hào)、總磁頭數(shù)和簽名
• 處理器 (CPU) 信息，例如唯一 ID、處理器 ID、制造商、名稱(chēng)、主頻和主板信息

這些數(shù)據(jù)在"Omicron Stats.exe "誘餌被首次執(zhí)行時(shí)被獲取，該誘餌解壓了惡意軟件并將其注入vbc.exe中。

除了Omicron，新 RedLine 變體還針對(duì) Opera GX 網(wǎng)絡(luò)瀏覽器等應(yīng)用程序。

此外，該惡意軟件已經(jīng)能通過(guò)搜索 Telegram 文件夾，定位圖像和對(duì)話(huà)歷史記錄，并將它們發(fā)送回攻擊者的服務(wù)器。之后對(duì)本地 Discord 資源進(jìn)行詳細(xì)檢查，直到發(fā)現(xiàn)和竊取訪(fǎng)問(wèn)令牌、日志和數(shù)據(jù)庫(kù)文件。

搜索 Discord日志的新 RedLine 變體

惡意軟件新變體活動(dòng)特點(diǎn)

在分析新RedLine 變體活動(dòng)時(shí)，研究人員發(fā)現(xiàn)，英國(guó)的一個(gè) IP 地址通過(guò) Telegram 消息服務(wù)，試圖指揮和控制其他計(jì)算機(jī)服務(wù)器。

“受控”的受害者分布在 12 個(gè)國(guó)家，但類(lèi)似這樣的攻擊卻并未針對(duì)特定的組織或個(gè)人。

“此變體通過(guò)14588端口將 207[.]32.217.89 作為其 C2 服務(wù)器，該 IP 屬于 1GServers 。” Fortinet 報(bào)告解釋說(shuō) ，“在此變體發(fā)布后的幾周內(nèi)，我們注意到一個(gè) IP 地址 (149[.]154.167.91) 與此 C2 服務(wù)器通信。”

由于這是 RedLine 的新版本，我們應(yīng)該很快就能看到其他威脅者利用它來(lái)發(fā)起新的網(wǎng)絡(luò)攻擊。

參考來(lái)源：

https://www.bleepingcomputer.com/news/security/new-redline-malware-version-spread-as-fake-omicron-stat-counter/