View Single Post
  #1  
Old 05-08-2025, 03:17 PM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


В ходе новых вредоносных кампаний устройства жертв заражаются RedLine Stealer.

Исследователи из Zscaler обнаружили несколько новых вредоносных кампаний, направленных на пользователей, которые пытаются загрузить пиратские версии ПО. Для продвижения сайтов с зараженными кряками и генераторами ключей злоумышленники используют отравление SEO и вредоносную рекламу.

Вредоносные сайты в поисковой выдаче.
Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:
  • Adobe Acrobat Pro

  • 3DMark

  • 3DVista Virtual Tour Pro

  • 7-Data Recovery Suite

  • MAGIX Sound Force Pro

  • Wondershare Dr. Fone

Защищенные паролем ZIP-архивы с “кряками” размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.
После распаковки размер ZIP-архива с 1.3 МБ увеличивается до 600 МБ за счет дополнения – криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл – дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.
Затем через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.

Процесс загрузки вредоносного JPG-файла.
После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает полезную нагрузку RedLine Stealer и загружает ее в текущий поток.
RedLine Stealer – это мощный инфостилер, который похищает пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и многое другое.
Однако, в некоторых случаях специалисты Zscaler замечали на устройствах жертв другой инфостилер – RecordBreaker, упакованный с помощью инструмента Themida. Его функционал ничем не отличается от функционала RedLine Stealer.
Напомним, весной этого года RedLine Stealer успел нашуметь , в одном только апреле осуществив 10 тыс. атак в более чем 150 странах и регионах мира.