Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.
RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.
RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.
Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:
- Nama kartu grafis
- Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
- Pabrikan disk drive, model, total head, dan tanda tangan
- Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
- Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.
Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.
Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.
Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.
Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.
Sumber: Fortinet
Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.
Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.
“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet
Sumber : Bleeping Computer
