Nowa kampania phishingowa kradnie hasła za pomocą RedLine Stealer
Badacze bezpieczeństwa ostrzegają przed trwającą obecnie kampanią, która wykorzystuje phishing do rozpowszechniania złośliwego oprogramowania typu „kradzież”, które jest w stanie wyłudzać hasła i puste portfele kryptograficzne.
Kampania przybrała na sile na początku kwietnia 2022 r. Zespół ds. bezpieczeństwa monitorujący alerty związane z obecną kampanią ostrzega, że cyberprzestępca rozprzestrzeniający masowe wiadomości phishingowe wykorzystuje je do dostarczania szkodliwego oprogramowania RedLine .
Czym jest złośliwe oprogramowanie złodzieja RedLine?
RedLine to złośliwe narzędzie sprzedawane przez jego autorów przy użyciu coraz bardziej popularnego schematu złośliwego oprogramowania jako usługi, w którym autorzy wynajmują swoje złośliwe narzędzia każdemu początkującemu hakerowi za opłatą. W przypadku szkodnika RedLine opłata ta jest dość skromna. Za kwotę 150 dolarów każdy młody cyberprzestępca, który ma nadzieję, może wykorzystać możliwości tego szkodliwego oprogramowania. Złośliwe narzędzie jest również oferowane w zamian za jednorazową dożywotnią opłatę abonamentową w wysokości 800 USD.
Obecna kampania phishingowa wykorzystuje proste przynęty z załącznikiem zawartym w złośliwej wiadomości e-mail. Po pobraniu i wykonaniu załącznika złośliwe oprogramowanie instaluje się i zaczyna działać.
Mapa cieplna terytoriów najbardziej dotkniętych w kampanii pokazuje, że głównymi celami hakerów były Niemcy, Brazylia i Stany Zjednoczone, a tuż za nimi plasują się Chiny i Egipt.
Co potrafi RedLine?
Szkodnik RedLine wykorzystuje lukę zarejestrowaną jako CVE-2021-26411. Jest to stosunkowo stara luka w zabezpieczeniach związana z uszkodzeniem pamięci w Internet Explorerze, która została naprawiona w 2021 roku. Na szczęście znacznie zawęża to listę możliwych ofiar.
Złodziej RedLine, po wdrożeniu, może zeskrobać hasła, pliki cookie i szczegóły płatności przechowywane w przeglądarkach. Złośliwe oprogramowanie może również eksfiltrować dzienniki czatów, dane logowania VPN i ciągi kryptowalut.
Fakt, że złośliwe oprogramowanie atakuje systemy z oprogramowaniem, w którym brakuje istotnych poprawek wydanych kilka miesięcy temu, pokazuje, że ogólne nawyki w zakresie konserwacji i instalowania poprawek zarówno użytkowników domowych, jak i organizacji wciąż nie są takie same.
Nawet zwykli użytkownicy domowi powinni mieć włączoną każdą opcję automatycznej aktualizacji w całym swoim oprogramowaniu i co kilka tygodni ręcznie sprawdzać dostępność aktualizacji oprogramowania, które nie ma tej funkcji.