Uma nova variante do ladrão de informações RedLine está sendo distribuída por e-mail usando um aplicativo falso de contador estatístico Omicron COVID-19 como isca.
O RedLine é um malware generalizado que é vendido a cibercriminosos por algumas centenas de dólares. Fornece aos mercados da dark web mais da metade das credenciais de usuário roubadas vendidas a outros agentes de ameaças.
O malware é desenvolvido ativamente e aprimorado continuamente com ampla distribuição usando vários métodos de distribuição.
O RedLine tem como alvo credenciais de contas de usuários armazenadas no navegador, senhas de VPN, detalhes de cartão de crédito, cookies, conteúdo de mensagens instantâneas, credenciais de FTP, dados de carteira de criptomoedas e muito mais, as informações do sistema.
A variante mais recente foi identificada pelos analistas da Fortinet, que notaram vários novos recursos e melhorias, além de uma funcionalidade de roubo de dados existente.
índice
- Orientação de dados adicionais
- Características da campanha
Orientação de dados adicionais
A nova variante adicionou alguns pontos de informações adicionais para exfiltrar, como:
- nome da placa gráfica
- Fabricante do BIOS, código de identificação, número de série, data de lançamento e versão
- Fabricante da unidade, modelo, cabeças totais e assinatura
- Informações do processador (CPU), como ID exclusivo, ID do processador, fabricante, nome, velocidade máxima do clock e informações da placa-mãe
Esses dados são recuperados quando a isca "Omicron Stats.exe" é executada pela primeira vez, que descompacta o malware e o injeta no vbc.exe.
Aplicativos adicionais direcionados pela nova variante RedLine são o navegador Opera GX, OpenVPN e ProtonVPN.
As versões anteriores do RedLine foram destinadas ao Opera normal, mas o GX é uma edição especial "focada no jogador" que está se tornando cada vez mais popular.
Além disso, o malware agora pesquisa as pastas do Telegram em busca de imagens e históricos de conversas e os envia de volta aos servidores do agente da ameaça.
Por fim, os ativos locais do Discord são mais inspecionados para descoberta e roubo de tokens de acesso, logs e arquivos de banco de dados.
Nova variante do RedLine procurando logs do Discord
Fonte : Fortinet
Características da campanha
Ao analisar a nova campanha, os pesquisadores encontraram um endereço IP na Grã-Bretanha que se comunica com o servidor de comando e controle por meio do serviço de mensagens Telegram.
As vítimas estão distribuídas em 12 países e o ataque não é focado em organizações ou indivíduos específicos.
"Esta variante usa 207[.]32.217.89 como o servidor C2 na porta 14588. Esse IP é de propriedade de 1gservers, explica o relatório da Fortinet
"Ao longo de algumas semanas após o lançamento desta variante, notamos um endereço IP (149[.]154.167.91) em particular se comunicando com este servidor C2."
Como esta é uma nova versão do RedLine, é provável que em breve veremos outros agentes de ameaças adotarem seu uso.
- Wyze oferece gratuitamente a todos os assinantes do Cam Plus "Cam Plus Lite"
- Você pode usar outros navegadores em um Chromebook?
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão Geek