Redline pozları ile bağlantılı yeni bir info-açılış kötü amaçlı yazılım, 'hile laboratuvarı' adı verilen bir oyun hile olarak, indiricilere arkadaşlarını da yüklemeye ikna ederlerse ücretsiz bir kopya vaat ediyor.
Redline, şifreler, çerezler, otomatik doldurma bilgileri ve kripto para cüzdanı bilgileri dahil olmak üzere enfekte bilgisayarlardan hassas bilgileri hasat edebilen güçlü bir bilgi çalan kötü amaçlı yazılımdır.
Kötü amaçlı yazılım siber suçlular arasında çok popülerdir ve çeşitli dağıtım kanalları kullanılarak dünya çapında yayılmaktadır.
McAfee Tehdit Araştırmacıları, yeni bilgi stealer'ın Lua Bytecode'dan kaçmak için algılamadan yararlandığını ve kötü amaçlı yazılımın gizli için meşru süreçlere enjekte etmesine ve ayrıca tam zamanında (JIT) derleme performansından yararlanmasına izin verdiğini bildirdi.
Araştırmacılar, daha önce kötü amaçlı yazılımla ilişkili bir komut ve kontrol sunucusu kullandığı için bu varyantı kırmızı çizgiye bağlar.
Bununla birlikte, BleepingComputer'ın testlerine göre, kötü amaçlı yazılım, tarayıcı bilgilerini çalmak, şifreleri kaydetme ve çerezler gibi tipik olarak Redline ile ilişkili davranış sergilemez.
Kötü niyetli redline yükleri, Microsoft'un 'VCPKG' GitHub deposuna bağlı URL'ler aracılığıyla "Cheater Lab" ve "Cheater Pro" adlı hile araçlarının demolarını taklit eder.
Kötü amaçlı yazılım, başlatıldığında iki dosyayı compiler.exe ve lua51.dll olan bir MSI yükleyicisi içeren zip dosyaları olarak dağıtılır. Ayrıca kötü amaçlı LUA bayt kodunu içeren bir 'Readme.txt' dosyası bırakır.
Bu kampanya, kurbanlara arkadaşlarını yüklemeye ikna ederlerse, hile programının ücretsiz, tamamen lisanslı bir kopyasını alabileceklerini söyleyerek kötü amaçlı yazılımları daha da dağıtmak için ilginç bir cazibe kullanıyor.
Mesaj ayrıca, daha fazla meşruiyet için bir aktivasyon anahtarı içerir.
Aşağıda gösterilen kurulum istemini, "Tam sürümü kilidini açmak için, bu programı arkadaşınızla paylaşın. Bunu yaptıktan sonra, program otomatik olarak kilidini açacaktır."
Tespitten kaçınmak için, kötü amaçlı yazılım yükü yürütülebilir bir şekilde değil, daha ziyade derlenmemiş bayt kodu olarak dağıtılır.
Yüklendiğinde, compiler.exe programı, ReadMe.txt dosyasında depolanan LUA bayt kodunu derler ve yürütür. Aynı yürütülebilir, sistem başlatma sırasında yürütülen planlanmış görevler oluşturarak kalıcılığı da ayarlar.
McAfee, kötü amaçlı yazılımların kalıcılık için bir geri dönüş mekanizması kullandığını ve üç dosyayı program verileri altında uzun rastgele bir yola kopyaladığını bildirdi.
Enfekte sistemde etkin olduktan sonra, kötü amaçlı yazılım bir C2 sunucusu ile iletişim kurar, aktif pencerelerin ve sistem bilgilerinin ekran görüntülerini gönderir ve ana bilgisayarda yürütülmesini beklemektedir.
İlk enfeksiyon için kullanılan tam yöntem belirlenmemiştir, ancak bilgi çalanlar tipik olarak kötü niyetli, YouTube video açıklamaları, P2P indirmeleri ve aldatıcı yazılım indirme siteleri yoluyla yayılır.
Kullanıcılara, gölgeli web sitelerinden indirilen imzasız yürütülebilir ürünlerden ve dosyalardan kaçınmaları tavsiye edilir.
Bu saldırı, Microsoft'un GitHub gibi güvenilir yerlerden programları bile yüklemenin bile insanları bir redline enfeksiyonu için ayarlayabileceğini gösteriyor.
BleepingComputer, GitHub URL'leri aracılığıyla dağıtılan yürütülebilir ürünler hakkında Microsoft ile temasa geçti, ancak yayın sırasında bir yanıt almadı.
GÜNCELLEME 4/20: McAfee, BleepingComputer'a Microsoft'u kötüye kullanma konusunda bilgilendirdiğini doğruladı.
McAfee, Microsoft Güvenlik Yanıt Ekibi ile doğrudan iletişim kuruyor. - McAfee Sözcüsü
Activision: 2FA'nın yakın zamanda kötü amaçlı yazılımlarla çalınan hesapları güvence altına almasını sağlayın
Gitlab, Github tarzı CDN Kusurundan etkilenen kötü amaçlı yazılım barındırma sağlar
Github Yorumları Microsoft Repo URL'leri aracılığıyla kötü amaçlı yazılımları zorlamak için istismar edildi
GitHub Push KeyZetsu Kötü Yazılımında Kötü niyetli Visual Studio Projeleri
PYPI, kötü amaçlı yazılım kampanyasını engellemek için yeni kullanıcı kaydını askıya alıyor
Kaynak: Bleeping Computer