Новая фишинговая кампания похищает пароли с помощью RedLine Stealer
Исследователи безопасности предупреждают о продолжающейся в настоящее время кампании, использующей фишинг для распространения вредоносного ПО, способного перехватывать пароли и опустошать криптовалютные кошельки.
Кампания набрала обороты в начале апреля 2022 года. Группа безопасности, отслеживающая оповещения, связанные с текущей кампанией, предупреждает, что субъект угрозы, распространяющий массовые фишинговые электронные письма, использует их для доставки вредоносного ПО для кражи RedLine .
Что такое вредоносная программа-стилер RedLine?
RedLine — это вредоносный инструмент, продаваемый его авторами по все более популярной схеме «вредоносное ПО как услуга», когда авторы сдают свои вредоносные инструменты в аренду любому начинающему хакеру за определенную плату. В случае с вредоносным ПО для кражи RedLine эта плата довольно скромная. За сумму в 150 долларов любой подающий надежды молодой киберпреступник может воспользоваться возможностями вредоносного ПО. Вредоносный инструмент также предлагается за единовременную пожизненную подписку в размере 800 долларов.
В текущей фишинговой кампании используются простые приманки с вложением, содержащимся во вредоносном электронном письме. После загрузки и выполнения вложения вредоносное ПО устанавливается и начинает работать.
Тепловая карта территорий, наиболее пострадавших в ходе кампании, показывает, что основными целями хакеров были Германия, Бразилия и США, а Китай и Египет отстают от них.
Что может Red Line?
Вредоносная программа-стилер RedLine использует уязвимость, зарегистрированную как CVE-2021-26411. Это относительно старая уязвимость, приводящая к повреждению памяти в Internet Explorer, которая была исправлена еще в 2021 году. К счастью, это значительно сужает список возможных жертв.
Похититель RedLine после развертывания может очищать пароли, файлы cookie и платежные реквизиты, хранящиеся в браузерах. Вредоносная программа также может эксфильтровать журналы чатов, учетные данные для входа в VPN и строки криптокошелька.
Тот факт, что вредоносные программы нацелены на системы, на которых запущено программное обеспечение, в котором отсутствуют необходимые исправления, выпущенные несколько месяцев назад, показывает, что общие привычки обслуживания и установки исправлений как домашних пользователей, так и организаций все еще не на должном уровне.
Даже обычные домашние пользователи должны держать все параметры автоматического обновления во всем своем программном обеспечении включенными и вручную проверять наличие обновлений для программного обеспечения, которое не имеет такой функции, каждые пару недель.