La nova campanya de pesca roba contrasenyes amb RedLine Stealer
Els investigadors de seguretat estan advertint d'una campanya en curs que utilitza phishing per difondre programari maliciós robatori que és capaç d'enganxar contrasenyes i buidar carteres criptogràfiques.
La campanya va augmentar en volum a principis d'abril de 2022. L'equip de seguretat que supervisa les alertes relacionades amb la campanya actual adverteix que l'actor de l'amenaça que difon els correus electrònics de pesca de gran volum els utilitza per lliurar el programari maliciós de robatori de RedLine .
Què és el programari maliciós de robatori de RedLine?
RedLine és una eina maliciosa venuda pels seus autors que utilitza el cada cop més popular esquema de programari maliciós com a servei, on els autors lloguen les seves eines malicioses a qualsevol pirata informàtic en evolució per una tarifa. En el cas del programari maliciós de robatori de RedLine, aquesta tarifa és bastant modesta. Contra la suma de 150 dòlars, qualsevol cibercriminal jove esperançat pot fer ús de les capacitats del programari maliciós. L'eina maliciosa també s'ofereix contra un pagament únic de subscripció de per vida de 800 dòlars.
La campanya de pesca actual utilitza esquers senzills, amb un fitxer adjunt contingut al correu electrònic maliciós. Un cop descarregat i executat el fitxer adjunt, el programari maliciós s'instal·la i comença a funcionar.
Un mapa de calor dels territoris més afectats a la campanya mostra que els principals objectius dels pirates informàtics han estat Alemanya, Brasil i els EUA, amb la Xina i Egipte per darrere.
Què pot fer RedLine?
El programari maliciós robador de RedLine abusa d'una vulnerabilitat registrada com a CVE-2021-26411. Aquesta és una vulnerabilitat de corrupció de memòria relativament antiga a Internet Explorer, que es va solucionar el 2021. Afortunadament, això redueix considerablement la llista de possibles víctimes.
RedLine stealer, un cop desplegat, pot esborrar contrasenyes, galetes i detalls de pagament emmagatzemats als navegadors. El programari maliciós també pot exfiltrar els registres de xat, les credencials d'inici de sessió VPN i les cadenes de cartera criptogràfica.
El fet que el programari maliciós dirigit als sistemes que executen programari que no té pegats essencials publicats fa mesos demostra que els hàbits generals de manteniment i pegats tant dels usuaris domèstics com de les organitzacions encara no estan a l'alçada.
Fins i tot els usuaris domèstics habituals haurien de mantenir activades totes les opcions d'actualització automàtica de tot el seu programari i comprovar manualment si hi ha actualitzacions de programari que no tingui aquesta funcionalitat cada dues setmanes.