Специалисты компании Zscaler обнаружили несколько вредоносных кампаний, в рамках которых инфостилер RedLine распространяется под видом различного пиратского софта, включая 3DMark, Adobe Acrobat Pro, MAGIX Sound Force Pro и так далее.
Исследователи рассказывают, что для продвижения сайтов с опасными «пиратками» применяется техника отравления SEO (SEO poisoning) и вредоносная реклама, что позволяет злоумышленникам занимать высокие позиции в результатах поиска Google.
Пользователей заманивают на такие сайты, предлагая бесплатные пиратские версии Adobe Acrobat Pro, 3DMark, 3DVista Virtual Tour Pro, 7-Data Recovery Suite, MAGIX Sound Force Pro, Wondershare Dr. Fone, а также различные кряки и генераторы ключей.
При этом вредоносные исполняемые файлы, маскирующиеся под обещанные установщики ПО, зачатую размещаются на сторонних файловых хостингах, поэтому целевые страницы лишь перенаправляют жертв в другие места для загрузки файлов.
Загруженные файлы обычно представляют собой архивы, содержащие защищенный паролем файл ZIP размером 1,3 МБ (чтобы избежать внимания антивирусного ПО), а также файл TXT с паролем. При распаковке такой файл искусственно разувается до 600 Мб с помощью заполнения ненужными байтами.
Итоговый исполняемый файл представляет собой загрузчик малвари, который порождает закодированную команду PowerShell, а тем запускает командную строку Windows (cmd.exe) и после 10-секундного тайм-аута. Процесс cmd.exe, в свою очередь, загружает фальшивый файл JPG, который на самом деле представляет собой файл DLL, содержимое которого расположено в обратном порядке.
Загрузчик переупорядочивает содержимое файла, извлекая DLL и пейлоад инфостилера RedLine.
Redline Stealer — это весьма мощная малварь, предназначенная для кражи информации. Она способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. В настоящее время RedLine Stealer активно продается в даркнете, и подписка на месяц стоит примерно 100 долларов США.
Аналитики Zscaler отмечают, что в некоторых случаях злоумышленники использовали для кражи данных другого вредоноса — RecordBreaker. Малварь была упакована с помощью Themida для обфускации и предотвращения обнаружения. RecordBreaker ворует ничуть не меньше данных, чем Redline Stealer, поэтому для жертв не имеет большого значения, какая именно полезная нагрузка использовалась хакерами.
