Er is een nieuwe campagne waargenomen die gebruikmaakt van een exploitkit die misbruik maakt van een Internet Explorer-fout die vorig jaar door Microsoft is gepatcht om de RedLine Stealer-trojan te leveren.
“Wanneer uitgevoerd, voert RedLine Stealer verkenning uit op het doelsysteem (inclusief gebruikersnaam, hardware, geïnstalleerde browsers, antivirussoftware) en exfiltreert vervolgens gegevens (inclusief wachtwoorden, opgeslagen creditcards, crypto-wallets, VPN-logins) naar een externe opdracht en controle server,” Bitdefender zei in een nieuw rapport gedeeld met The Hacker News.
De meeste besmettingen bevinden zich in Brazilië en Duitsland, gevolgd door onder meer de VS, Egypte, Canada, China en Polen.
Exploitkits of exploitpacks zijn uitgebreide tools die een verzameling exploits bevatten die zijn ontworpen om te profiteren van kwetsbaarheden in veelgebruikte software door geïnfecteerde systemen te scannen op verschillende soorten fouten en aanvullende malware te implementeren.
De primaire infectiemethode die door aanvallers wordt gebruikt om exploitkits te verspreiden, in dit geval de Rig-exploitkitgaat via gecompromitteerde websites die, wanneer ze worden bezocht, de exploitcode laten vallen om uiteindelijk de RedLine Stealer-payload te sturen om vervolgaanvallen uit te voeren.
De fout in kwestie is CVE-2021-26411 (CVSS-score: 8,8), een kwetsbaarheid voor geheugenbeschadiging die Internet Explorer treft en die eerder werd bewapend door aan Noord-Korea gelieerde bedreigingsactoren. Het werd door Microsoft aangepakt als onderdeel van de Patch Tuesday-updates voor maart 2021.
“Het RedLine Stealer-sample geleverd door RIG EK wordt verpakt in meerdere versleutelingslagen […] om detectie te voorkomen”, merkte het Roemeense cyberbeveiligingsbedrijf op, terwijl het uitpakken van de malware maar liefst zes fasen doorliep.
RedLine Stealer, een informatie-stelende malware die op ondergrondse forums wordt verkocht, wordt geleverd met functies om wachtwoorden, cookies en creditcardgegevens die in browsers zijn opgeslagen, te exfiltreren, evenals crypto-portefeuilles, chatlogboeken, VPN-inloggegevens en tekst uit bestanden volgens de opdrachten die zijn ontvangen van een externe server.
Dit is verre van de enige campagne waarbij RedLine Stealer wordt verspreid. In februari 2022, HP gedetailleerd een social engineering-aanval met behulp van valse Windows 11 upgrade-installatieprogramma’s om Windows 10-gebruikers te misleiden om de malware te downloaden en uit te voeren.
