Фишинговый сайт заражает жертв стилером, который собирает полный профиль пользователя.
https://www.securitylab.ru/upload/ib...6mr17s9odz.png
Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили фишинговый сайт , имитирующий популярный сайт Convertio, который распространяет стилер Redline Stealer.
На поддельном сайте пользователю предлагается выбрать входной файл. После выбора файла для преобразования пользователь может выбрать расширение выходного файла. После выбора типов файлов и нажатия кнопки «Конвертировать», жертва перенаправляется на страницу загрузки.
https://www.securitylab.ru/upload/im...t-img(627).png
Фишинговый (слева) и настоящий сайт (справа) Convertio
Когда пользователь нажимает на кнопку скачивания, загружается ZIP-архив. Вместо выбранного типа файла в ZIP-архив включается файл ярлыка. Он загружает 2 BAT-файла BAT с именами «2.bat» и «3.bat», а после запуска добавляет расширения «exe» и «bat». После этого загружается исполняемый файл с полезной нагрузкой в ​​формате PDF.
https://www.securitylab.ru/upload/im...t-img(628).png
Вредоносный ярлык
На основании поведения исполняемый файл вредоносного ПО был идентифицирован экспертами как RedLine Stealer. Он нацелен на веб-браузеры, криптокошельки и такие приложения, как FileZilla, Discord, Steam, Telegram и VPN-клиенты.
Кроме того, он собирает информацию о зараженной системе – ОС, оборудование, запущенные процессы, антивирусные продукты, установленные программы и язык. Затем стилер эксфильтрует все данные на удаленный сервер злоумышленника.