Pronađen je novi alat za krađu informacija koji koristi Lua bajtkod za dodatnu skrivenost i sofisticiranost, otkriva nalaz McAfee Labs-a.
Firma za sajber sigurnost je ocijenila da je to varijanta poznatog zlonamjernog softvera pod nazivom RedLine Stealer zbog činjenice da je IP adresa servera za komandu i kontrolu (C2) prethodno identifikovana kao povezana sa malverom.
RedLine Stealer, prvi put dokumentovan u martu 2020, obično se isporučuje putem e-pošte i zlonamjernih kampanja, bilo direktno ili putem kompleta za eksploataciju i malvera za učitavanje kao što su dotRunpeX i HijackLoader.
Gotov malver je sposoban da prikuplja informacije iz kriptovalutnih novčanika, VPN softvera i web pregledača, kao što su sačuvani akreditivi, podaci za automatsko popunjavanje, informacije o kreditnim karticama i geolokacije na osnovu IP adresa žrtava.
Tokom godina, RedLine Stealer je kooptiralo nekoliko hakera u svoje lance napada, što ga čini rasprostranjenim sojem koji obuhvata Sjevernu Ameriku, Južnu Ameriku, Evropu, Aziju i Australiju.
Sekvenca infekcije koju je identifikovao McAfee zloupotrebljava GitHub, koristeći dva Microsoftova zvanična skladišta za implementaciju C++ standardne biblioteke (STL) i vcpkg za hostovanje korisnog opterećenja napunjenog malverom u obliku ZIP arhiva.
Trenutno nije poznato kako su se datoteke učitale u repozitorijum, ali ova tehnika je znak da hakeri koriste povjerenje povezano s pouzdanim repozitorijumom za distribuciju malvera. ZIP datoteke više nisu dostupne za preuzimanje iz Microsoftovih repozitorijuma.
ZIP arhiva (“Cheat.Lab.2.7.2.zip” i “Cheater.Pro.1.6.0.zip”) maskira se kao varalica za igru, što ukazuje da su igrači vjerovatno meta kampanje. Dolazi sa MSI instalaterom koji je dizajniran za pokretanje zlonamjernog Lau bytecode.
“Ovaj pristup pruža prednost u zamagljivanju zlonamjernih niti i izbjegavanju korišćenja lako prepoznatljivih skripti poput wscript-a, JScript-a ili PowerShell skripte, čime se povećava prikrivenost i sposobnost izbjegavanja za napadača,” rekli su istraživači Mohansundaram M. i Neil Tyagi.
U pokušaju da prenese zlonamjerni softver na druge sisteme, MSI instalater prikazuje poruku pozivajući žrtvu da podijeli program sa svojim prijateljima kako bi dobila otključanu verziju softvera.
Izvršna datoteka “compiler.exe” unutar instalacionog programa, pokretanjem Lua bajtkoda ugrađenog u datoteku “readme.txt” koja se nalazi u ZIP arhivi, uspostavlja trajnost na domaćinu koristeći zakazani zadatak i ispušta CMD datoteku, koja, zauzvrat, pokreće “compiler.exe” pod drugim imenom “NzUw.exe.”
U završnoj fazi, “NzUw.exe” inicira komunikaciju sa serverom za komandu i kontrolu (C2) preko HTTP-a, gore pomenute IP adrese pripisane RedLine-u.
Zlonamjerni softver više funkcioniše kao backdoor, izvršavajući zadatke preuzete sa C2 servera (npr. pravljenje snimaka ekrana) i eksfiltrirajući rezultate nazad na njega.
Tačan način na koji se distribuišu veze do ZIP arhiva trenutno je nepoznat. Ranije ovog mjeseca, Checkmarx je otkrio kako hakeri iskorištavaju funkcionalnost pretraživanja GitHub-a da prevare nesuđene korisnike da preuzmu skladišta puna malvera.
Razvoj dolazi kada je Recorded Future detaljno opisao “operaciju sajber kriminala na ruskom jeziku” koja izdvaja gejmersku zajednicu i koristi lažne Web3 mamce za igre da isporuči malver sposoban da ukrade osjetljive informacije od korisnika macOS-a i Windows-a, tehnika koja se zove trap phishing.
“Kampanja uključuje kreiranje imitacije Web3 gaming projekata s malim imenima i modifikacijama brenda kako bi izgledali legitimno, zajedno s lažnim nalozima na društvenim mrežama kako bi se pojačala njihova autentičnost,” kaže Insikt Group.
„Glavne web stranice ovih projekata nude preuzimanja koja, kada se jednom instaliraju, zaraze uređaje raznim vrstama zlonamjernog softvera „infostealer“, kao što su Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys ili RisePro, ovisno o operativnom sistemu.“
Takođe prati talas kampanja malvera koje ciljaju poslovna okruženja sa loaderima kao što su PikaBot i novi soj pod nazivom NewBot Loader.
“Napadači su u svakoj kampanji demonstrirali raznovrstan raspon tehnika i vektora infekcije, sa ciljem da isporuče PikaBot teret “, rekao je McAfee .
Ovo uključuje phishing napad koji koristi prednost otmice razgovora putem e-pošte i grešku u Microsoft Outlooku pod nazivom MonikerLink ( CVE-2024-21413 ) kako bi se žrtve podstakle da preuzmu zlonamjerni softver sa SMB dijeljenja.
Izvor: The Hacker News