• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for malware RedLine

malware RedLine

Pemasang pemutakhiran Windows 11 palsu menginfeksi Anda dengan malware RedLine

February 10, 2022 by Eevee

Pelaku ancaman telah mulai mendistribusikan penginstal pemutakhiran Windows 11 palsu kepada pengguna Windows 10, menipu mereka agar mengunduh dan menjalankan malware pencuri RedLine.

Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase penyebaran luas Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi mereka.

Pelaku mencuri kata sandi, cookie browser, kartu kredit, dan pengambil info dompet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.

Menurut peneliti di HP, para pelaku menggunakan domain “windows-upgraded.com” yang tampaknya sah untuk bagian distribusi malware dari kampanye mereka.

Situs tersebut tampak seperti situs Microsoft asli dan, jika pengunjung mengeklik tombol ‘Unduh Sekarang’, mereka menerima arsip ZIP 1,5 MB bernama “Windows11InstallationAssistant.zip,” diambil langsung dari CDN Discord.

Situs web palsu yang digunakan untuk penyebaran malware (HP)

Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.

Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai.

Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.

Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server perintah-dan-kontrol melalui TCP untuk mendapatkan instruksi tentang tugas jahat apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.

Eksekusi RedLine dan rantai pemuatan (HP)

Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.

Pelaku ancaman juga memanfaatkan klien pembaruan Windows yang sah untuk mengeksekusi kode berbahaya pada sistem Windows yang disusupi, sehingga taktik yang dilaporkan oleh HP hampir tidak mengejutkan saat ini.

Sumber : Bleeping Computer

Tagged With: malware RedLine, Microsoft, Windows 11

Versi malware RedLine baru menyebar sebagai penghitung stat Omicron palsu

January 12, 2022 by Eevee

Varian baru pencuri info RedLine didistribusikan melalui email menggunakan aplikasi penghitung statistik Omicron COVID-19 palsu sebagai iming-iming.

RedLine adalah malware komoditas tersebar luas yang dijual ke penjahat dunia maya seharga beberapa ratus USD. Ini memasok pasar web gelap dengan lebih dari setengah kredensial pengguna yang dicuri dijual ke aktor ancaman lainnya.

RedLine menargetkan kredensial akun pengguna yang disimpan di browser, kata sandi VPN, detail kartu kredit, cookie, konten IM, kredensial FTP, data dompet cryptocurrency, dan informasi sistem.

Varian baru telah menambahkan beberapa poin informasi untuk dieksfiltrasi, seperti:

  • Nama kartu grafis
  • Produsen BIOS, kode identifikasi, nomor seri, tanggal rilis, dan versi
  • Pabrikan disk drive, model, total head, dan tanda tangan
  • Informasi prosesor (CPU) seperti ID unik, ID prosesor, pabrikan, nama, kecepatan clock maks, dan informasi motherboard
  • Data ini diambil pada eksekusi pertama dari iming-iming “Omicron Stats.exe”, yang membongkar malware dan memasukkannya ke dalam vbc.exe.

Aplikasi tambahan yang ditargetkan oleh varian RedLine baru adalah browser web Opera GX, OpenVPN, dan ProtonVPN.

Versi RedLine sebelumnya menargetkan Opera biasa, tetapi GX adalah edisi khusus “berfokus pada gamer” yang semakin populer.

Selain itu, malware sekarang mencari folder Telegram untuk menemukan gambar dan riwayat percakapan dan mengirimnya kembali ke server pelaku ancaman.

Terakhir, sumber daya Discord lokal diperiksa lebih ketat untuk menemukan dan mencuri token akses, log, dan file database.

Varian RedLine baru mencari log Discord
Sumber: Fortinet

Saat menganalisis kampanye baru, para peneliti menemukan alamat IP di Inggris Raya yang berkomunikasi dengan server perintah dan kontrol melalui layanan pesan Telegram.

Para korban tersebar di 12 negara, dan serangan tidak terfokus pada organisasi atau individu tertentu.

“Varian ini menggunakan 207[.]32.217.89 sebagai server C2-nya melalui port 14588. IP ini dimiliki oleh 1gservers,” jelas laporan Fortinet

Sumber : Bleeping Computer

Tagged With: malware RedLine, Omicron

Have I Been Pwned menambahkan 441 ribu akun yang dicuri oleh malware RedLine

December 31, 2021 by Eevee

Layanan pemberitahuan pelanggaran data Have I Been Pwned sekarang memungkinkan Anda memeriksa apakah email dan kata sandi Anda adalah salah satu dari 441.000 akun yang dicuri dalam kampanye pencurian informasi menggunakan malware RedLine.

RedLine saat ini adalah malware pencuri informasi yang paling banyak digunakan, didistribusikan melalui kampanye phishing dengan lampiran berbahaya, penipuan YouTube, dan situs warez/crack.

Setelah diinstal, malware RedLine akan mencoba mencuri cookie, kredensial, kartu kredit, dan informasi pelengkapan otomatis yang disimpan di browser. Itu juga mencuri kredensial yang disimpan di klien VPN dan klien FTP, mencuri dompet cryptocurrency, dan dapat mengunduh perangkat lunak tambahan atau menjalankan perintah pada sistem yang terinfeksi.

Data yang dicuri dikumpulkan ke dalam arsip, yang disebut “log”, dan diunggah ke server jauh tempat penyerang dapat mengumpulkannya nanti.

Penyerang menggunakan log ini untuk berkompromi dengan akun lain atau menjualnya di pasar kriminal web gelap hanya dengan $5 per log.

Akhir pekan lalu, peneliti keamanan Bob Diachenko menemukan server yang mengekspos lebih dari 6 juta log RedLine yang dikumpulkan pada bulan Agustus dan September 2021. Pelaku ancaman kemungkinan menggunakan server ini untuk menyimpan data yang dicuri tetapi gagal mengamankannya dengan benar.

Minggu ini banyak LastPass menerima email peringatan bahwa kata sandi utama mereka mungkin disusupi karena digunakan untuk masuk dari lokasi yang tidak biasa.

Diachenko menemukan bahwa banyak kredensial LastPass dicuri dan disimpan di log RedLine yang terbuka dan memeriksa berbagai email untuk pengguna LastPass yang menerima email untuk melihat apakah mereka terdaftar.

Data RedLine berisi 441.657 alamat email unik yang dicuri oleh RedLine yang sekarang dapat dicari di Have I Been Pwned. Sayangnya, jika alamat email Anda terdaftar di log malware RedLine, tidak cukup hanya mengubah kata sandi yang terkait dengan akun email itu.

Karena RedLine menargetkan semua data Anda, Anda harus mengubah kata sandi untuk semua akun yang digunakan pada mesin, termasuk VPN perusahaan dan akun email, serta akun pribadi lainnya.

Saat RedLine mencoba mencuri dompet cryptocurrency, Anda harus segera mentransfer token ke dompet lain jika Anda memilikinya. Jika email Anda terdaftar sebagai bagian dari catatan RedLine, Anda harus memindai komputer Anda menggunakan perangkat lunak antivirus untuk mendeteksi dan menghapus malware yang diinstal.

Sumber : Bleeping Computer

Tagged With: Have I Been Pwned, LastPass, log, malware RedLine

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo