Новая фишинговая кампания похищает пароли с помощью RedLine Stealer

Исследователи безопасности предупреждают о продолжающейся в настоящее время кампании, использующей фишинг для распространения вредоносного ПО, способного перехватывать пароли и опустошать криптовалютные кошельки.

Кампания набрала обороты в начале апреля 2022 года. Группа безопасности, отслеживающая оповещения, связанные с текущей кампанией, предупреждает, что субъект угрозы, распространяющий массовые фишинговые электронные письма, использует их для доставки вредоносного ПО для кражи RedLine .

Что такое вредоносная программа-стилер RedLine?

RedLine — это вредоносный инструмент, продаваемый его авторами по все более популярной схеме «вредоносное ПО как услуга», когда авторы сдают свои вредоносные инструменты в аренду любому начинающему хакеру за определенную плату. В случае с вредоносным ПО для кражи RedLine эта плата довольно скромная. За сумму в 150 долларов любой подающий надежды молодой киберпреступник может воспользоваться возможностями вредоносного ПО. Вредоносный инструмент также предлагается за единовременную пожизненную подписку в размере 800 долларов.

В текущей фишинговой кампании используются простые приманки с вложением, содержащимся во вредоносном электронном письме. После загрузки и выполнения вложения вредоносное ПО устанавливается и начинает работать.

Тепловая карта территорий, наиболее пострадавших в ходе кампании, показывает, что основными целями хакеров были Германия, Бразилия и США, а Китай и Египет отстают от них.

Что может Red Line?

Вредоносная программа-стилер RedLine использует уязвимость, зарегистрированную как CVE-2021-26411. Это относительно старая уязвимость, приводящая к повреждению памяти в Internet Explorer, которая была исправлена еще в 2021 году. К счастью, это значительно сужает список возможных жертв.

Похититель RedLine после развертывания может очищать пароли, файлы cookie и платежные реквизиты, хранящиеся в браузерах. Вредоносная программа также может эксфильтровать журналы чатов, учетные данные для входа в VPN и строки криптокошелька.

Тот факт, что вредоносные программы нацелены на системы, на которых запущено программное обеспечение, в котором отсутствуют необходимые исправления, выпущенные несколько месяцев назад, показывает, что общие привычки обслуживания и установки исправлений как домашних пользователей, так и организаций все еще не на должном уровне.

Даже обычные домашние пользователи должны держать все параметры автоматического обновления во всем своем программном обеспечении включенными и вручную проверять наличие обновлений для программного обеспечения, которое не имеет такой функции, каждые пару недель.