据BleepingComputer信息,RedLine 信息窃取器的新变种正根据电子邮箱开展散播,以COVID-19 Omicron 病案计数应用软件做为鱼饵。
RedLine 是一种商业化的信息窃取程序流程,通常以Chrome 、 Edge 和 Opera 等时兴网页浏览器为总体目标执行进攻主题活动。
2020年3月,RedLine 初次发生在俄国暗在网上。现阶段,该系统在影子网络以大概 200 美金的价钱售卖,暗互联网销售市场超出一半的失窃客户凭证均由其给予。
该恶意程序已经积极主动研发和不断完善,并采用多种多样派发方法开展普遍布署 。
RedLine 的总体目标是储存在手机浏览器上的用户账户凭证、虚拟专用网登陆密码、银行信用卡详尽信息、cookies、IM內容、FTP凭证、数字货币钱夹数据信息和系统软件信息。
RedLine 的全新组合由Fortinet 投资分析师发觉,相比于以前版本,新组合在信息窃取作用的根基上,干了改善并提升了几类新的作用。
窃取信息的总体目标区域更广
新变种加上了大量信息点以开展外渗,例如:
- 电脑显卡名字
- BIOS 制造商、标识码、系列号、公布日期和版本
- 磁盘驱动器制造商、型号规格、总磁头数和签字
- CPU (CPU) 信息,例如唯一 ID、处理器 ID、制造商、名字、cpu主频和电脑主板信息
这种信息在"Omicron Stats.exe "鱼饵被初次实行时被获得,该鱼饵缓解压力了恶意程序并将其引入vbc.exe中。
除开Omicron,新 RedLine 组合还对于 Opera GX 网页浏览器等应用软件。
除此之外,该恶意程序早已能根据检索 Telegram 文件夹名称,精准定位图象和会话历史数据,并将他们推送回网络攻击的网络服务器。以后对当地 Discord 資源开展具体查验,直到发觉和窃取浏览动态口令、日志和数据文件。
检索 Discord日志的新 RedLine 组合
恶意程序新组合主题活动特性
在研究新RedLine 组合主题活动时,科学研究工作人员发觉,法国的一个 IP 详细地址根据 Telegram 信息服务项目,尝试指引和操纵别的电子计算机网络服务器。
“可控”的受害人遍布在 12 个我国,但相近如此的伤害却并没有对于指定的结构或本人。
“此组合根据14588端口号将 207[.]32.217.89 做为其 C2 网络服务器,该 IP 归属于 1GServers 。” Fortinet 汇报表述说 ,“在这里组合公布后的几个星期内,大家注意到一个 IP 详细地址 (149[.]154.167.91) 与此 C2 网络服务器通讯。”
因为这也是 RedLine 的新版本,大家应当没多久就能见到别的危害者运用它来进行新的黑客攻击。
参照来源于:
https://www.bleepingcomputer.com/news/security/new-redline-malware-version-spread-as-fake-omicron-stat-counter/