Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsMalware RedLine Stealer abusa de repos de Github y scripts LUA

41


El troyano
RedLine Stealer es un infostealer, documentado por primera vez en
marzo de 2020, y generalmente se entrega a través de correo electrónico y
campañas de publicidad maliciosa, ya sea directamente o mediante kits de
explotación y otros malware como
dotRunpeX
y
HijackLoader.

A lo largo de los años, RedLine Stealer ha sido incorporado por varios actores
de amenazas a sus cadenas de ataque, lo que lo convierte en una cepa
predominante que abarca América del Norte, América del Sur, Europa, Asia y
Australia.

Ahora se ha encontrado una nueva versión de este ladrón de información que
aprovecha el código de LUA para obtener mayor sigilo.
McAfee Labs ha evaluado
que se trata de una variante de RedLine Stealer debido a que la
dirección IP del servidor de comando y control (C2)
se ha identificado previamente como asociada con el malware. LUA se aprovecha para evadir la detección, lo que permite que el malware se inyecte en procesos legítimos de forma sigilosa y también aproveche el rendimiento de compilación Just-In-Time (JIT).

El malware es capaz de recopilar información de carteras de criptomonedas,
software VPN y navegadores web, como credenciales guardadas, datos de
autocompletar, información de tarjetas de crédito y ubicaciones geográficas
basadas en las direcciones IP de las víctimas.

La secuencia de infección identificada por McAfee
abusa de GitHub, utilizando dos de los repositorios oficiales de Microsoft para su
implementación de la biblioteca estándar de C++ (STL) y
vcpkg
para alojar la carga útil cargada de malware en forma de archivos ZIP.

Actualmente no se sabe cómo se cargaron los archivos en el repositorio, pero
la técnica es una señal de que los actores de amenazas están utilizando como
arma la confianza asociada con los repositorios confiables para distribuir
malware. Los archivos ZIP ya no están disponibles para descargar desde los
repositorios de Microsoft.

El archivo ZIP («Cheat.Lab.2.7.2.zip» y «Cheater.Pro.1.6.0.zip») se hace pasar
por un truco de juego, lo que indica que los jugadores probablemente sean el
objetivo de la campaña. Viene equipado con un instalador MSI diseñado para
ejecutar el código de bytes malicioso Lua.

«Este enfoque ofrece la ventaja de ofuscar las cargas maliciosas y evitar
el uso de scripts fácilmente reconocibles como wscript, JScript o
PowerShell, mejorando así las capacidades de sigilo y evasión del actor de
amenazas»
, dijeron los investigadores Mohansundaram M. y Neil Tyagi.

En un intento de pasar el malware a otros sistemas, el instalador de MSI
muestra un mensaje instando a la víctima a compartir el programa con sus
amigos para obtener la versión desbloqueada del software.

El ejecutable «compiler.exe» dentro del instalador, al ejecutar el
código de bytes LUA incrustado en el archivo «readme.txt» presente en
el archivo ZIP, configura la persistencia en el host mediante una tarea
programada y suelta un archivo CMD que, en a su vez, ejecuta
«compiler.exe» con otro nombre «NzUw.exe».

En la etapa final, «NzUw.exe» inicia comunicaciones con un servidor de
comando y control (C2) a través de HTTP, la dirección IP antes mencionada
atribuida a RedLine.

El malware funciona más como una puerta trasera, realizando tareas obtenidas
del servidor C2 (por ejemplo, tomar capturas de pantalla) y exfiltrando los
resultados hacia él.

Actualmente se desconoce el método exacto mediante el cual se distribuyen los
enlaces a los archivos ZIP. A principios de este mes,
Checkmarx reveló
cómo los actores de amenazas están aprovechando la funcionalidad de búsqueda
de GitHub para engañar a usuarios desprevenidos para que descarguen
repositorios cargados de malware.

Fuente:
THN



Source link

Los comentarios están cerrados.