據(jù)BleepingComputer消息，RedLine 信息竊取器的新變種正通過電子郵件進行傳播，以COVID-19 Omicron 病例計數(shù)器應(yīng)用程序作為誘餌。

RedLine 是一種商業(yè)化信息竊取程序，通常以Chrome 、 Edge 和 Opera 等流行網(wǎng)絡(luò)瀏覽器為目標(biāo)實施攻擊活動。

2020年3月，RedLine 首次出現(xiàn)在俄羅斯暗網(wǎng)上。目前，該程序在暗網(wǎng)以大約 200 美元的價格出售，暗網(wǎng)絡(luò)市場超過一半的被盜用戶憑證均由其提供。

該惡意軟件正在積極開發(fā)和不斷改進，并使用多種分發(fā)方式進行廣泛部署 。

RedLine 的目標(biāo)是存儲在瀏覽器上的用戶賬戶憑證、虛擬專用網(wǎng)密碼、信用卡詳細(xì)信息、cookies、IM內(nèi)容、FTP憑證、加密貨幣錢包數(shù)據(jù)和系統(tǒng)信息。

RedLine 的最新變體由Fortinet 分析師發(fā)現(xiàn)，相較于之前版本，新變體在信息竊取功能的基礎(chǔ)上，做了改進并增加了幾項新的功能。

竊取信息的目標(biāo)范圍更廣

新變種添加了更多信息點以進行滲出，例如：

• 顯卡名稱
• BIOS 制造商、識別碼、序列號、發(fā)布日期和版本
• 磁盤驅(qū)動器制造商、型號、總磁頭數(shù)和簽名
• 處理器 (CPU) 信息，例如唯一 ID、處理器 ID、制造商、名稱、主頻和主板信息

這些數(shù)據(jù)在"Omicron Stats.exe "誘餌被首次執(zhí)行時被獲取，該誘餌解壓了惡意軟件并將其注入vbc.exe中。

除了Omicron，新 RedLine 變體還針對 Opera GX 網(wǎng)絡(luò)瀏覽器等應(yīng)用程序。

此外，該惡意軟件已經(jīng)能通過搜索 Telegram 文件夾，定位圖像和對話歷史記錄，并將它們發(fā)送回攻擊者的服務(wù)器。之后對本地 Discord 資源進行詳細(xì)檢查，直到發(fā)現(xiàn)和竊取訪問令牌、日志和數(shù)據(jù)庫文件。

搜索 Discord日志的新 RedLine 變體

惡意軟件新變體活動特點

在分析新RedLine 變體活動時，研究人員發(fā)現(xiàn)，英國的一個 IP 地址通過 Telegram 消息服務(wù)，試圖指揮和控制其他計算機服務(wù)器。

“受控”的受害者分布在 12 個國家，但類似這樣的攻擊卻并未針對特定的組織或個人。

“此變體通過14588端口將 207[.]32.217.89 作為其 C2 服務(wù)器，該 IP 屬于 1GServers 。” Fortinet 報告解釋說 ，“在此變體發(fā)布后的幾周內(nèi)，我們注意到一個 IP 地址 (149[.]154.167.91) 與此 C2 服務(wù)器通信。”

由于這是 RedLine 的新版本，我們應(yīng)該很快就能看到其他威脅者利用它來發(fā)起新的網(wǎng)絡(luò)攻擊。

參考來源：

https://www.bleepingcomputer.com/news/security/new-redline-malware-version-spread-as-fake-omicron-stat-counter/