据BleepingComputer报道,RedLine信息窃取程序的一个新变种正在通过电子邮件传播,使用COVID-19Omicron案例计数器应用程序作为诱饵。RedLine是一种商业信息窃取程序,通常针对流行的网络浏览器,如Chrome、Edge和Opera。2020年3月,RedLine首次出现在俄罗斯暗网上。目前,该程序在暗网上的售价约为200美元,暗网市场上超过一半的用户凭据被盗。该恶意软件正在积极开发和持续改进中,并使用多种分发方法广泛部署。RedLine的目标是用户帐户凭据、VPN密码、信用卡详细信息、cookie、IM内容、FTP凭据、加密货币钱包数据以及存储在浏览器上的系统信息。Fortinet分析师发现的RedLine的最新变体改进了信息窃取功能,并与以前的版本相比增加了一些新功能。窃取信息的目标范围更广新变种增加了更多要泄露的信息点,例如:显卡名称BIOS制造商、标识号、序列号、发布日期和版本磁盘驱动器制造商、型号、磁头总数和签名处理器(CPU)信息,如唯一ID、处理器ID、制造商、名称、时钟和主板信息这些数据是在首次执行“OmicronStats.exe”诱饵时捕获的,它会解压缩恶意软件并将其注入vbc.exe。除了Omicron,新的RedLine变体还针对OperaGX网络浏览器等应用程序。此外,该恶意软件还能够搜索Telegram文件夹,找到图像和对话历史记录,并将它们发送回攻击者的服务器。然后仔细检查本地Discord资源,直到发现并窃取访问令牌、日志和数据库文件。新的RedLine变体恶意软件搜索Discord日志新变体活动的特征在分析新RedLine变体的活动时,研究人员发现英国的一个IP地址试图通过Telegram消息服务命令和控制其他计算机服务器。“受控”受害者分布在12个国家,但此类攻击并不针对特定组织或个人。“该变体通过端口14588使用207[.]32.217.89作为其C2服务器,该IP属于1GServers。”Fortinet报告解释说,“在这个变体发布后的几周内,我们注意到一个IP地址(149[.]154.167.91)与这个C2服务器通信。”由于这是RedLine的新版本,我们应该很快就会看到其他威胁参与者使用它来发起新的网络攻击。参考来源:https://www.bleepingcomputer.com/news/security/new-redline-malware-version-spread-as-fake-omicron-stat-counter/
