【安全资讯】攻击者利用新冠疫情为诱饵,传播RedLine新变种

猎影实验室 2022-01-12 06:37:11 1467人浏览

引言

RedLine是一种流行的商品恶意软件,于2020年3月首次被披露。近日,研究人员发现了RedLine软件的新变体,该变体伪造成Omicron数据计数器应用程序,通过电子邮件分发。此次活动是一次广泛的攻击,潜在受害者分布在 12 个国家或地区,攻击者并未针对特定组织或个人。

 

 

简况

攻击者以新冠奥密克戎病毒为诱饵,通过名为“Omicron Stats.exe”的文件传播RedLine新变体。Omicron Stats.exe在执行后,使用密码模式 ECB 和填充模式 PKCS7 解压缩,并将解压缩的资源注入 vbc.exe。随后恶意软件会尝试从 Windows Management Instrumentation (WMI) 中窃取以下系统信息:

  • 显卡名称
  • BIOS 制造商、识别码、序列号、发布日期和版本
  • 磁盘驱动器制造商、型号、签名
  • 处理器 (CPU) 信息,例如唯一 ID、处理器 ID、制造商、名称和主板信息

 

该恶意软件还会寻找并尝试窃取以下浏览器数据:

  • 登录数据
  • 网络数据
  • 浏览器用户代理详细信息
  • Cookie
  • 扩展Cookie
  • 自动填充
  • 信用卡信息

 

 

以及以下系统信息:

  • 处理器
  • 显卡
  • 总内存
  • 已安装的程序
  • 运行进程
  • 安装的语言
  • 用户名
  • 已安装的 Windows 版本
  • 序列号

 

 

此外,RedLine Stealer变体还会窃取NordVPN、OpenVPN、ProtonVPN应用程序的存储凭据。

 

 

总结

RedLine Stealer正在积极开发并不断改进,使用多种分发方法进行广泛部署。RedLine Stealer利用了新冠疫情为诱饵分发,随着疫情的继续蔓延,预计攻击者将持续利用这一诱饵展开信息窃取活动。

 

失陷指标(IOC)24
账号窃密 RedLine 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。