據(jù)bleepingcomputer消息�,RedLine 信息竊取器的新變種正通過電子郵件進(jìn)行傳播�,以COVID-19 Omicron 病例計(jì)數(shù)器應(yīng)用程序作為誘餌。
RedLine 是一種商業(yè)化信息竊取程序�����,通常以Chrome �����、 Edge 和 Opera 等流行網(wǎng)絡(luò)瀏覽器為目標(biāo)實(shí)施攻擊活動。
2020年3月���,RedLine 首次出現(xiàn)在俄羅斯暗網(wǎng)上���。目前,該程序在暗網(wǎng)以大約 200 美元的價(jià)格出售�,暗網(wǎng)絡(luò)市場超過一半的被盜用戶憑證均由其提供。
該惡意軟件正在積極開發(fā)和不斷改進(jìn)�,并使用多種分發(fā)方式進(jìn)行廣泛部署 。
RedLine 的目標(biāo)是存儲在瀏覽器上的用戶賬戶憑證�、VPN密碼、信用卡詳細(xì)信息����、cookies、IM內(nèi)容���、FTP憑證�����、加密貨幣錢包數(shù)據(jù)和系統(tǒng)信息���。
RedLine 的最新變體由Fortinet 分析師發(fā)現(xiàn)���,相較于之前版本,新變體在信息竊取功能的基礎(chǔ)上��,做了改進(jìn)并增加了幾項(xiàng)新的功能���。
竊取信息的目標(biāo)范圍更廣
新變種添加了更多信息點(diǎn)以進(jìn)行滲出,例如:
顯卡名稱
BIOS 制造商��、識別碼�����、序列號�����、發(fā)布日期和版本
磁盤驅(qū)動器制造商��、型號����、總磁頭數(shù)和簽名
處理器 (CPU) 信息�����,例如唯一 ID��、處理器 ID���、制造商、名稱���、主頻和主板信息
這些數(shù)據(jù)在"Omicron Stats.exe "誘餌被首次執(zhí)行時(shí)被獲取�,該誘餌解壓了惡意軟件并將其注入vbc.exe中����。
除了Omicron,新 RedLine 變體還針對 Opera GX 網(wǎng)絡(luò)瀏覽器�����、OpenVPN 和 ProtonVPN等應(yīng)用程序�。
此外,該惡意軟件已經(jīng)能通過搜索 Telegram 文件夾���,定位圖像和對話歷史記錄���,并將它們發(fā)送回攻擊者的服務(wù)器�����。之后對本地 Discord 資源進(jìn)行詳細(xì)檢查���,直到發(fā)現(xiàn)和竊取訪問令牌、日志和數(shù)據(jù)庫文件����。
搜索 Discord日志的新 RedLine 變體
惡意軟件新變體活動特點(diǎn)
在分析新RedLine 變體活動時(shí),研究人員發(fā)現(xiàn)�����,英國的一個(gè) IP 地址通過 Telegram 消息服務(wù)����,試圖指揮和控制其他計(jì)算機(jī)服務(wù)器���。
“受控”的受害者分布在 12 個(gè)國家��,但類似這樣的攻擊卻并未針對特定的組織或個(gè)人����。
“此變體通過14588端口將 207[.]32.217.89 作為其 C2 服務(wù)器,該 IP 屬于 1GServers ������! Fortinet 報(bào)告解釋說 ,“在此變體發(fā)布后的幾周內(nèi)�����,我們注意到一個(gè) IP 地址 (149[.]154.167.91) 與此 C2 服務(wù)器通信����。”
由于這是 RedLine 的新版本����,我們應(yīng)該很快就能看到其他威脅者利用它來發(fā)起新的網(wǎng)絡(luò)攻擊。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
