Chiến dịch bộ công cụ khai thác RIG mới lây nhiễm vào máy tính của nạn nhân bằng RedLine Stealer

Bộ công cụ khai thác RIG

Một chiến dịch mới sử dụng bộ công cụ khai thác đã được quan sát thấy lạm dụng một lỗ hổng của Internet Explorer được vá vào năm ngoái để cung cấp trojan RedLine Stealer.

“Khi được thực thi, RedLine Stealer thực hiện trinh sát hệ thống mục tiêu (bao gồm tên người dùng, phần cứng, trình duyệt được cài đặt, phần mềm chống vi-rút) và sau đó lấy dữ liệu (bao gồm mật khẩu, thẻ tín dụng đã lưu, ví tiền điện tử, thông tin đăng nhập VPN) sang một lệnh và điều khiển từ xa “Bitdefender cho biết trong một báo cáo mới được chia sẻ với The Hacker News.

Hầu hết các trường hợp nhiễm trùng nằm ở Brazil và Đức, tiếp theo là Mỹ, Ai Cập, Canada, Trung Quốc và Ba Lan, trong số những người khác.

Bộ công cụ khai thác hoặc gói khai thác là công cụ toàn diện chứa tập hợp các phần mềm khai thác được thiết kế để tận dụng các lỗ hổng trong phần mềm thường được sử dụng bằng cách quét các hệ thống bị nhiễm để tìm các loại lỗ hổng khác nhau và triển khai phần mềm độc hại bổ sung.

Phương thức lây nhiễm chính được những kẻ tấn công sử dụng để phân phối các bộ công cụ khai thác, trong trường hợp này là Bộ công cụ khai thác Rig, là thông qua các trang web bị xâm nhập, khi được truy cập, sẽ thả để cuối cùng gửi tải trọng RedLine Stealer để thực hiện các cuộc tấn công tiếp theo.

Xem tiếp:   Reborn of Emotet: Các tính năng mới của Botnet và cách phát hiện nó

Bộ công cụ khai thác RIG

Lỗ hổng được đề cập là CVE-2021-26411 (điểm CVSS: 8,8), một lỗ hổng bảo mật ảnh hưởng đến Internet Explorer đã được vũ khí hóa trước đó bởi các mối đe dọa có liên quan đến Triều Tiên. Nó đã được Microsoft giải quyết như một phần của bản cập nhật Patch Tuesday cho tháng 3 năm 2021.

“Mẫu RedLine Stealer do RIG EK cung cấp được đóng gói trong nhiều lớp […] để tránh bị phát hiện, “công ty an ninh mạng Romania lưu ý, với việc giải mã phần mềm độc hại tiến triển qua 6 giai đoạn.

RedLine Stealer, một phần mềm độc hại đánh cắp thông tin được bán trên các diễn đàn ngầm, đi kèm với các tính năng lấy cắp mật khẩu, cookie và dữ liệu thẻ tín dụng được lưu trong trình duyệt, cũng như ví tiền điện tử, nhật ký trò chuyện, thông tin đăng nhập VPN và văn bản từ các tệp theo lệnh nhận được từ một máy chủ từ xa.

Đây không phải là chiến dịch duy nhất liên quan đến việc phân phối RedLine Stealer. Vào tháng 2 năm 2022, HP đã nêu chi tiết về một cuộc tấn công kỹ thuật xã hội bằng cách sử dụng trình cài đặt nâng cấp Windows 11 giả mạo để lừa người dùng Windows 10 tải xuống và thực thi phần mềm độc hại.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …