Un nou malware de furt de informații legat de Redline se prezintă ca un cheat pentru joc numit ‘Cheat Lab’, promițând celor care îl descarcă o copie gratuită dacă îi conving pe prietenii lor să-l instaleze și ei.
Redline este un malware puternic de furt de informații capabil să colecteze informații sensibile de pe calculatoarele infectate, inclusiv parole, cookie-uri, informații autofill și informații despre portofelele de criptomonede.
Mesajul conține, de asemenea, o cheie de activare pentru o legitimitate adăugată.
Pentru a evita detectarea, payload-ul malware-ului nu este distribuit sub formă de executabil, ci ca bytecode ne-compilat.
Atunci când este instalat, programul compiler.exe compilează bytecode-ul Lua stocat în fișierul readme.txt și îl execută. Același executabil stabilește și persistența prin crearea de sarcini programate care se execută în timpul pornirii sistemului.
McAfee raportează că malware-ul folosește un mecanism de rezervă pentru persistență, copiind cele trei fișiere într-un director lung și aleatoriu sub datele programului.
Odată activ pe sistemul infectat, malware-ul comunică cu un server C2, trimițând capturi de ecran ale ferestrelor active și informații despre sistem și așteptând comenzile de executat pe gazdă.
Metoda exactă folosită pentru infectarea inițială nu a fost determinată, dar furturile de informații sunt, în mod obișnuit, răspândite prin intermediul malvertising-ului, descrierilor de videoclipuri YouTube, descărcărilor P2P și site-urilor de descărcare de software înșelătoare.
Utilizatorii sunt sfătuiți să evite executabilele nesemnate și fișierele descărcate de pe site-uri dubioase.
Acest atac arată că chiar și instalarea programelor din locații aparent de încredere precum GitHub-ul Microsoft poate pregăti oamenii pentru o infecție Redline.
Leave a Reply