freebuf新冠疫情从 2021 年一直持续到了 2022 年,从 2021 年 4 月出现的 Delta(德尔塔)毒株到现在肆虐的 Omicron(奥密克戎)毒株,全球累计确诊新冠肺炎病例数量已经正式超过 3 亿。
攻击者并没有因为疫情给人类带来的伤痛而停止为自己谋取利益。FortiGuard 最近发现了一个名为 Omicron Stats.exe恶意样本,分析确认为 Redline Stealer 的变种。
Redline Stealer
Redline Stealer 最早在 2020 年 3 月被公开披露,并且 Redline Stealer 也迅速成为地下市场中非常受欢迎的窃密工具之一。通过 Redline Stealer 窃取的信息在暗网上以每个用户 10 美元的低价出售。
人们对于疫情蔓延的恐惧和担忧被攻击者利用,在攻击中使用与 COVID-19 有关的内容作为诱饵,容易使人们降低警惕。
在被安装了窃密工具后,受害者的账户密码和浏览的详细信息都会被发送给攻击者。包括在线支付、电子银行、文件共享或者社交网络的登录凭据等个人隐私信息。
Redline Stealer 会收集以下信息:
系统信息:登录名与密码、Cookie、自动填写表单、User-Agent、信用卡信息、浏览器历史记录
FTP 客户端信息
IM 客户端信息
通过文件路径与文件扩展名收集信息
设置阻止运行的国家/地区名单
机器信息:IP 地址、国家、城市、用户名、硬件 ID、键盘布局、屏幕截图、屏幕分辨率、操作系统、UAC 设置、User-Agent、其他设备(如显卡)信息、反病毒软件、常用文件夹内容
发现的变种包含以上功能,还有一些新的改进。
Omicron Stats.exe
以往 RedLine Stealer 就会通过以疫情为主题的电子邮件进行分发,本次虽然没有确定传播媒介,但推测也是通过电子邮件。文件名使用了近来引起确诊病例海啸的 Omicron 毒株的名字,引诱受害者点击。
根据 FortiGuard 的遥测数据,该 RedLine Stealer 变种的受害者分布在 12 个国家/地区,攻击者并未针对特定目标发起攻击。
新功能
在执行 Omicron Stats.exe 后,样本将资源段中的加密数据解密出来注入 vbc.exe中,数据使用 ECB 为加密模式、PKCS7 为填充模式的三重 DES 进行加密。
样本将自身复制到 C:\Users\[Username]\AppData\Roaming\chromedrlvers.exe并创建计划任务进行持久化。
schtasks /create /sc minute /mo 1 /tn "Nania" /tr
"'C:\Users[Username]\AppData\Roaming\chromedrlvers.exe'" /f
紧接着,样本通过 WMI 窃取以下信息:
显卡名称
BIOS 制造商、识别码、序列号、发布日期与版本
硬盘驱动器制造商、型号、磁头数
CPU 制造商、最大时钟速度、处理器 ID 等
样本还会通过 base64 编码和异或解密 Cmargin-left:auto;margin-right:auto" class="editor-table-container">
IP 地址 149.154.167.91 位于英国,是 Telegram Messenger 的一部分。这似乎可以表明 C&C 服务器被 RedLine Stealer 通过 Telegram 控制着,毕竟 RedLine Stealer 还在 Telegram 上提供了专门的购买和技术支持渠道。
结论
RedLine Stealer 持续利用疫情相关话题展开攻击,预计这一攻击方式仍将与疫情持续存在。尽管感染不会对失陷主机产生灾难性的影响,但是被窃取的信息有可能可被其他攻击利用。
IOC
15FE4385A2289AAF208F080ABB7277332EF8E71EDC68902709AB917945A36740
891aba61b8fec4005f25d405ddfec4d445213c77fce1e967ba07f13bcbe0dad5
216a733c391337fa303907a15fa55f01c9aeb128365fb6d6d245f7c7ec774100
73942b1b5a8146090a40fe50a67c7c86c739329506db9ff5adc638ed7bb1654e
2af009cdf12e1f84f161a2d4f2b4f97155eb6ec6230265604edbc8b21afb5f1a
bf31d8b83e50a7af3e2dc746c74b85d64ce28d7c33b95c09cd46b9caa4d53cad
b8ebdc5b1e33b9382433151f62464d3860cf8c8950d2f1a0278ef77679a04d3b
8d7883edc608a3806bc4ca58637e0d06a83f784da4e1804e9c5f24676a532a7e
1b4fcd8497e6003009010a19abaa8981366922be96e93a84e30ca2885476ccd7
fdeadd54dd29fe51b251242795c83c4defcdade23fdb4b-589c05939ae42d6900
af4bf44056fc0b8c538e1e677ed1453d1dd884e78e1d66d1d2b83abb79ff1161
207.32.217.89:14588
91.243.32.13:1112
185.112.83.21:21142
23.88.11.67:54321
178.20.44.131:8842
91.243.32.94:63073
95.143.177.66:9006
45.147.230.234:1319
31.42.191.60:62868
135.181.177.210:16326
hxxps://privatlab[.]com/s/s/nRqOogoYkXT3anz2kbrO/2f6ceecb-a469-40b5-94a2-2c9cc0bc8445-Ewdy5l6RAylbLsgDgrgjNjVbn
hxxps://privatlab[.]com/s/s/3Qa0YRMaVaij07Z8BqzZ/7ca69d4c-c5bb-4ab3-b5a9-87c17b7167b5-86yYgEGqbQMnoszgm0OmgGb6g
hxxp://data-host-coin-8[.]com/files/9476_1641477642_2883[.]exe
hxxp://data-host-coin-8[.]com/files/541_1641407973_7515[.]exe
hxxp://data-host-coin-8[.]com/files/7871_1641415744_5762[.]exe
hxxps://transfer[.]sh/get/HafwDG/rednovi[.]exe
hxxp://91[.]219.63.60/downloads/slot8[.]exe
参考来源
转载请注明来自网盾网络安全培训,本文标题:《RedLine借奥密克戎肆虐进行传播,窃取用户信息》
- 上一篇: AD CS攻击面剖析
- 下一篇: Docker-CVE-2020-15257
