Был обнаружен новый похититель информации, использующий байт-код Lua для дополнительной скрытности и сложности, свидетельствуют результаты исследований McAfee Labs.
Компания по кибербезопасности оценила его как вариант известной вредоносной программы под названием RedLine Stealer из-за того факта, что IP-адрес командно-контрольного сервера (C2) был ранее идентифицирован как связанный с вредоносной программой.
RedLine Stealer, впервые задокументированный в марте 2020 года, обычно поставляется по электронной почте и в рекламных кампаниях, либо напрямую, либо через наборы эксплойтов и загрузчики вредоносных программ, таких как dotRunpeX и HijackLoader.
Готовая вредоносная программа способна собирать информацию из криптовалютных кошельков, программного обеспечения VPN и веб-браузеров, такую как сохраненные учетные данные, данные автозаполнения, информацию о кредитной карте и геолокации на основе IP-адресов жертв.
На протяжении многих лет RedLine Stealer использовался несколькими участниками угроз в своих цепочках атак, что сделало его распространенным штаммом, охватывающим Северную Америку, Южную Америку, Европу, Азию и Австралию.
Последовательность заражения, идентифицированная McAfee, злоупотребляет GitHub, используя два официальных репозитория Microsoft для реализации стандартной библиотеки C ++ (STL) и vcpkg для размещения вредоносной полезной нагрузки в виде ZIP-архивов.
В настоящее время неизвестно, как файлы попали в репозиторий, но этот метод является признаком того, что злоумышленники используют доверие, связанное с надежными репозиториями, для распространения вредоносного ПО. ZIP-файлы больше недоступны для загрузки из репозиториев Microsoft.
ZIP-архив ("Cheat.Lab.2.7.2.zip" и "Cheater.Pro.1.6.0.zip") маскируется под игровой чит, указывая на то, что геймеры, вероятно, являются целью кампании. Он поставляется с установщиком MSI, предназначенным для запуска вредоносного байт-кода Lua.
"Этот подход обеспечивает преимущество в обфускации вредоносных атак и позволяет избежать использования легко распознаваемых скриптов, таких как wscript, JScript или PowerShell script, тем самым повышая возможности скрытности и уклонения для субъекта угрозы", - сказали исследователи Мохансундарам М. и Нил Тяги.
При попытке передать вредоносное ПО в другие системы установщик MSI отображает сообщение, призывающее жертву поделиться программой со своими друзьями, чтобы получить разблокированную версию программного обеспечения.
"compiler.exe" Исполняемый файл в установщике после запуска байт-кода Lua, встроенного в "readme.txt " файл, присутствующий в ZIP-архиве, настраивает сохранение на хосте с помощью запланированной задачи и удаляет файл CMD, который, в свою очередь, запускается "compiler.exe " под другим именем "NzUw.exe."
На заключительном этапе "NzUw.exe" инициирует связь с командно-контрольным сервером (C2) по HTTP, вышеупомянутый IP-адрес приписан RedLine.
Вредоносная программа функционирует скорее как бэкдор, выполняя задачи, полученные с сервера C2 (например, делая скриншоты) и эксфильтрируя результаты обратно на него.
Точный метод, с помощью которого распространяются ссылки на ZIP-архивы, в настоящее время неизвестен. Ранее в этом месяце Checkmarx показал, как злоумышленники используют возможности поиска на GitHub, чтобы обманом заставить ничего не подозревающих пользователей загружать репозитории с вредоносным ПО.
Разработка ведется по мере того, как Recorded Future подробно описывает "крупномасштабную русскоязычную операцию по борьбе с киберпреступностью", которая выделяет игровое сообщество и использует поддельные игровые приманки Web3 для доставки вредоносного ПО, способного красть конфиденциальную информацию у пользователей macOS и Windows, метод, называемый фишинг-ловушкой.
"Кампания включает в себя создание имитационных игровых проектов Web3 с небольшими изменениями названия и брендинга, чтобы казаться легитимными, наряду с поддельными аккаунтами в социальных сетях для подтверждения их подлинности", - сказали в Insikt Group.
"Основные веб-страницы этих проектов предлагают загрузки, которые после установки заражают устройства различными типами вредоносных программ "infostealer", такими как Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys или RisePro, в зависимости от операционной системы".
Он также следует за волной кампаний вредоносного ПО, нацеленных на корпоративные среды с загрузчиками, такими как PikaBot, и новым штаммом под названием NewBot Loader.
"Злоумышленники продемонстрировали широкий спектр методов и переносчиков заражения в каждой кампании, стремясь доставить полезную нагрузку PikaBot", - сказал МаКафи.
Это включает фишинговую атаку, которая использует в своих интересах перехват переписки по электронной почте и уязвимость Microsoft Outlook под названием MonikerLink (CVE-2024-21413), чтобы побудить жертв загрузить вредоносное ПО с общего ресурса SMB.
