【安全资讯】通过视频网站传播的RedLine窃密木马分析

匿名用户 2021-11-29 07:30:39 783人浏览

引言

研究人员监测到一起通过视频网站YouTube传播RedLine窃密木马的攻击活动。攻击者以公共平台为依托,在视频网站YouTube上通过不同的账号上传大量视频,视频内容包括盗版软件、操作教程、虚拟货币、游戏作弊等各类热点话题。视频简介中包含恶意下载链接,诱导用户下载恶意软件并执行。

 

简况

RedLine窃密木马最早在2020年3月被发现,是流行的窃密木马家族之一,国内外传播较为广泛。该木马具备多种信息窃取功能,如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息,以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式,在地下论坛出售。

 

 

攻击的整体流程如下图所示:

 

攻击者上传大量钓鱼视频,诱导受害者主动下载并执行恶意文件,下载地址通常为短链接,会跳转到网盘、社交网站的附件下载链接等,使用的均为合法公共网站,并对压缩包设置密码,以此躲避自动化检测。攻击者使用窃取到的账号上传钓鱼视频,进一步扩大传播范围。

 

样本使用C#语言中的ChannelFactory与C2进行网络通信,连接至C2获取配置信息,包括功能开关、自定义文件窃密规则等。恶意软件收集设备硬件配置信息,包括CPU、显卡、内存等。窃取浏览器保存的密码、Cookie、自动填充、信用卡信息。

总结

本次攻击活动中,攻击者通过大量投放钓鱼视频,形成了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击闭环,对数据安全造成了极大的威胁。用户应提高警惕,避免从未知来源下载软件,若发现感染,应立即进行全面查杀,并及时在安全环境中修改密码。

 

失陷指标(IOC)4
RedLine 木马 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。