קמפיין דיוג חדש גונב סיסמאות באמצעות RedLine Stealer

חוקרי אבטחה מזהירים מפני מסע פרסום מתמשך שמשתמש בדיוג כדי להפיץ תוכנות זדוניות גניבות שמסוגלות לתפוס סיסמאות ולרוקן ארנקי קריפטו.

הקמפיין עלה בנפח בתחילת אפריל 2022. צוות האבטחה שעוקב אחר ההתראות הקשורות למסע הפרסום הנוכחי מזהיר ששחקן האיום המפיץ את הודעות הדיוג בנפח המוני משתמש בהן כדי לספק את תוכנת הגניבה RedLine .

מהי תוכנת הגניבה של RedLine?

RedLine הוא כלי זדוני שנמכר על ידי מחבריו באמצעות סכימת תוכנות זדוניות כשירות הפופולריות יותר ויותר, שבה המחברים משכירים את הכלים הזדוניים שלהם לכל האקר מתחיל תמורת תשלום. במקרה של תוכנת הגניבה של RedLine, התשלום הזה די צנוע. כנגד סכום של 150$ כל פושע סייבר צעיר עם תקווה יכול לעשות שימוש ביכולות של תוכנת הזדונית. הכלי הזדוני מוצע גם תמורת תשלום מנוי חד פעמי לכל החיים של 800$.

קמפיין הדיוג הנוכחי משתמש בפתיונות פשוטים, עם קובץ מצורף במייל הזדוני. לאחר הורדת הקובץ המצורף וביצועו, התוכנה הזדונית מותקנת ומתחילה לעבוד.

מפת חום של השטחים שנפגעו הכי קשה בקמפיין מראה שהמטרות העיקריות של ההאקרים היו גרמניה, ברזיל וארה"ב, כאשר סין ומצרים משתרכות מאחור.

מה RedLine יכול לעשות?

תוכנת הגניבה של RedLine משתמשת לרעה בפגיעות שנרשמה כ-CVE-2021-26411. זוהי פגיעות שחיתות זיכרון ישנה יחסית ב-Internet Explorer, אשר תוקנה עוד בשנת 2021. למרבה המזל, הדבר מצמצם את רשימת הקורבנות האפשריים במידה ניכרת.

גנב RedLine, לאחר פריסה, יכול לגרד סיסמאות, עוגיות ופרטי תשלום המאוחסנים בדפדפנים. התוכנה הזדונית יכולה גם לחלץ יומני צ'אט, אישורי כניסה ל-VPN ומחרוזות של ארנק קריפטו.

העובדה שמערכות ממקדות לתוכנות זדוניות שמריצות תוכנות שחסרות לה תיקונים חיוניים שהופקו לפני חודשים מראה שהרגלי התחזוקה והתיקון הכוללים של משתמשים ביתיים וארגונים עדיין לא עומדים בקנה אחד.

אפילו משתמשים ביתיים רגילים צריכים להשאיר כל אפשרות עדכון אוטומטי בכל התוכנות שלהם מופעלות, ולבדוק ידנית אם יש עדכונים לתוכנות שאין להן את הפונקציונליות הזו כל שבועיים.