McAfee 实验室的调查结果显示,已经发现一种新的信息窃取程序利用 Lua 字节码来增强隐蔽性和复杂性。
该网络安全公司已将其评估为名为 RedLine Stealer 的已知恶意软件的变体,因为命令与控制 (C2) 服务器IP 地址之前已被识别为与该恶意软件相关。
RedLine Stealer于 2020 年 3 月首次记录,通常通过电子邮件和恶意广告活动直接或通过漏洞利用工具包和加载器恶意软件(如dotRunpeX和HijackLoader )传播。
这种现成的恶意软件能够从加密货币钱包、VPN 软件和网络浏览器中收集信息,例如保存的凭据、自动完成数据、信用卡信息和基于受害者 IP 地址的地理位置。
多年来,RedLine Stealer 已被多个威胁参与者纳入其攻击链,使其成为横跨北美、南美、欧洲、亚洲和澳大利亚的流行病毒。
McAfee 发现的感染序列滥用了 GitHub,使用 Microsoft 的两个官方存储库来实现 C++ 标准库 ( STL ) 和vcpkg,以 ZIP 存档的形式托管充满恶意软件的有效负载。
目前尚不清楚这些文件是如何上传到存储库的,但该技术表明威胁行为者正在利用与可信存储库相关的信任来传播恶意软件。 ZIP 文件不再可从 Microsoft 存储库下载。
ZIP 存档(“Cheat.Lab.2.7.2.zip”和“Cheater.Pro.1.6.0.zip”)伪装成游戏作弊,表明游戏玩家可能是该活动的目标。它配备了一个 MSI 安装程序,旨在运行恶意 Lua 字节码。
研究人员 Mohansundaram M. 和 Neil Tyagi表示:“这种方法的优点是可以混淆恶意攻击,避免使用易于识别的脚本,如 wscript、JScript 或 PowerShell 脚本,从而增强威胁行为者的隐秘和规避能力。”
为了将恶意软件传递到其他系统,MSI 安装程序会显示一条消息,敦促受害者与朋友共享该程序,以获得该软件的解锁版本。
安装程序中的“compiler.exe”可执行文件在运行 ZIP 存档中“readme.txt”文件中嵌入的 Lua 字节码时,使用计划任务在主机上设置持久性并删除一个 CMD 文件,该文件在反过来,以另一个名称“NzUw.exe”运行“compiler.exe”。
在最后阶段,“NzUw.exe”通过 HTTP 发起与命令和控制 (C2) 服务器的通信,上述 IP 地址属于 RedLine。
该恶意软件的功能更像是一个后门,执行从 C2 服务器获取的任务(例如,截取屏幕截图)并将结果泄露回服务器。
目前尚不清楚分发 ZIP 档案链接的确切方法。本月早些时候,Checkmarx揭露了威胁行为者如何利用 GitHub 的搜索功能来诱骗毫无戒心的用户下载充满恶意软件的存储库。
这一进展正值 Recorded Future 详细介绍了一次“大规模俄语网络犯罪行动”,该行动专门针对游戏社区,并利用虚假的 Web3 游戏诱饵来传播能够窃取 macOS 和 Windows 用户敏感信息的恶意软件,这种技术称为陷阱网络钓鱼。
Insikt Group表示:“该活动涉及创建模仿 Web3 游戏项目,对名称和品牌进行轻微修改,以显得合法,并使用虚假社交媒体帐户来增强其真实性。”
“这些项目的主要网页提供下载,一旦安装,就会使用各种类型的“infostealer”恶意软件感染设备,例如 Atomic macOS Stealer (AMOS)、Stealc、Rhadamanthys 或 RisePro,具体取决于操作系统。”
它还发生了一波针对企业环境的恶意软件活动,其中包括 PikaBot 等加载程序和名为NewBot Loader的新病毒。
迈克菲表示:“攻击者在每次活动中都展示了多种技术和感染媒介,旨在传递PikaBot 有效负载。”
这包括利用电子邮件对话劫持和名为 MonikerLink ( CVE-2024-21413 ) 的 Microsoft Outlook 缺陷的网络钓鱼攻击,诱使受害者从 SMB 共享下载恶意软件。
发表评论
您还未登录,请先登录。
登录