【安全资讯】攻击者利用新冠疫情为诱饵，传播RedLine新变种

引言

RedLine是一种流行的商品恶意软件，于2020年3月首次被披露。近日，研究人员发现了RedLine软件的新变体，该变体伪造成Omicron数据计数器应用程序，通过电子邮件分发。此次活动是一次广泛的攻击，潜在受害者分布在 12 个国家或地区，攻击者并未针对特定组织或个人。

简况

攻击者以新冠奥密克戎病毒为诱饵，通过名为“Omicron Stats.exe”的文件传播RedLine新变体。Omicron Stats.exe在执行后，使用密码模式 ECB 和填充模式 PKCS7 解压缩，并将解压缩的资源注入 vbc.exe。随后恶意软件会尝试从 Windows Management Instrumentation (WMI) 中窃取以下系统信息：

• 显卡名称
• BIOS 制造商、识别码、序列号、发布日期和版本
• 磁盘驱动器制造商、型号、签名
• 处理器 (CPU) 信息，例如唯一 ID、处理器 ID、制造商、名称和主板信息

该恶意软件还会寻找并尝试窃取以下浏览器数据：

• 登录数据
• 网络数据
• 浏览器用户代理详细信息
• Cookie
• 扩展Cookie
• 自动填充
• 信用卡信息

以及以下系统信息：

• 处理器
• 显卡
• 总内存
• 已安装的程序
• 运行进程
• 安装的语言
• 用户名
• 已安装的 Windows 版本
• 序列号

此外，RedLine Stealer变体还会窃取NordVPN、OpenVPN、ProtonVPN应用程序的存储凭据。

总结

RedLine Stealer正在积极开发并不断改进，使用多种分发方法进行广泛部署。RedLine Stealer利用了新冠疫情为诱饵分发，随着疫情的继续蔓延，预计攻击者将持续利用这一诱饵展开信息窃取活动。