Malware RedLine Stealer foi descoberta pela McAfee Labs

Uma nova variante ardilosa do notório malware RedLine Stealer foi descoberta pela McAfee Labs. Esta versão atualizada utiliza bytecode Lua, tornando-a extremamente furtiva e difícil de detectar.

O RedLine Stealer, um programa nefasto de roubo de informações documentado pela primeira vez em 2020, é conhecido por visar seus dados mais valiosos. Isso inclui credenciais de login, informações de cartão de crédito e até mesmo suas carteiras de criptomoedas e configurações de VPN.

Tradicionalmente espalhado por meio de e-mails de phishing e anúncios maliciosos, esta nova variante adota uma abordagem mais sofisticada. Os invasores estão abusando habilmente de repositórios legítimos da Microsoft no GitHub para hospedar o malware disfarçado como arquivos ZIP. Esses arquivos contêm a carga maliciosa escrita em bytecode Lua, uma linguagem de script não tipicamente associada a malware. Esse truque ajuda a contornar as medidas de segurança tradicionais.

Ainda não se sabe ao certo como os arquivos foram enviados para o repositório, mas a técnica é um sinal de que os cibercriminosos estão se aproveitando da confiança associada a repositórios confiáveis para distribuir malware. É importante ressaltar que os arquivos ZIP não estão mais disponíveis para download nos repositórios da Microsoft.

Os arquivos ZIP (“Cheat.Lab.2.7.2.zip” e “Cheater.Pro.1.6.0.zip”) se disfarçam como cheats para jogos, indicando que os jogadores são provavelmente o alvo da campanha. Eles vêm com um instalador MSI projetado para executar o bytecode Lua malicioso.

“Essa abordagem oferece a vantagem de ofuscar strings maliciosas e evitar o uso de scripts facilmente reconhecíveis como wscript, JScript ou PowerShell, aumentando assim os recursos de furtividade e evasão para o cibercriminoso”

Mohansundaram M. e Neil Tyagi

Na tentativa de propagar o malware para outros sistemas, o instalador MSI exibe uma mensagem incentivando a vítima a compartilhar o programa com seus amigos para obter a versão desbloqueada do software.

O executável “compiler.exe” dentro do instalador, ao executar o bytecode Lua embutido no arquivo “readme.txt” presente no arquivo ZIP, configura a persistência na máquina usando uma tarefa agendada e solta um arquivo CMD, que, por sua vez, executa “compiler.exe” com outro nome “NzUw.exe“.

No estágio final, “NzUw.exe” inicia a comunicação com um servidor de comando e controle (C2) via HTTP, utilizando o endereço IP mencionado anteriormente e atribuído ao RedLine.

O malware funciona mais como um backdoor, realizando tarefas obtidas do servidor C2 (por exemplo, tirando screenshots) e exfiltrando os resultados de volta para ele.

O método exato pelo qual os links para os arquivos ZIP são distribuídos é atualmente desconhecido. No início deste mês, a Checkmarx revelou como os cibercriminosos estão se aproveitando da funcionalidade de pesquisa do GitHub para enganar usuários desavisados ​​a baixar repositórios repletos de malware.

Esse desenvolvimento ocorre no mesmo momento em que a Recorded Future detalhou uma “operação de crime cibernético em larga escala em russo” que visa a comunidade de jogadores e utiliza iscas falsas de jogos Web3 para entregar malware capaz de roubar informações confidenciais de usuários de macOS e Windows, uma técnica chamada trap phishing.

“A campanha envolve a criação de projetos imitando jogos Web3 com pequenas modificações de nome e marca para parecerem legítimos, juntamente com contas falsas de mídia social para reforçar sua autenticidade”, disse o Insikt Group.

As páginas principais desses projetos falsos oferecem downloads que, uma vez instalados, infectam os dispositivos com vários tipos de malware “infostealer”, como:

• Atomic macOS Stealer (AMOS)
• Stealc, Rhadamanthys
• RisePro

Esse caso coincide com uma onda de campanhas de malware direcionadas a ambientes corporativos com carregadores como PikaBot e uma nova variante chamada NewBot Loader.

“Os invasores demonstraram uma ampla variedade de técnicas e vetores de infecção em cada campanha, com o objetivo de entregar a carga do PikaBot“, disse a McAfee.

Isso inclui um ataque de phishing que se aproveita do sequestro de conversas de e-mail e de uma falha no Microsoft Outlook chamada MonikerLink (CVE-2024-21413) para induzir as vítimas a baixar o malware de um compartilhamento SMB.

Para dicas e recursos adicionais sobre como se manter seguro online, certifique-se de se inscrever em nosso blog!