Tehdit analistleri, Redline Stealer kötü amaçlı yazılımını sunmak için Rig Wxloit kitini kullanan yeni bir kampanya ortaya çıkardılar.
Sustamya Kitleri (EKS), şimdi yok olan Flash Player ve Microsoft Sillverlight gibi eklenti yazılımları tarafından tanıtılan web tarayıcılarında güvenlik açıklarını hedefledikleri için popülerlikte büyük ölçüde düştü.
Web tarayıcıları daha güvenli hale geldikçe ve tüm bileşenleri için otomatik güncellemeler getirdikçe veya bunları modern standartlarla değiştirdikçe, kötü amaçlı yazılımları dağıtmak için EKS kullanımı bu günlerde nadir bir karşılaşma olduğu noktasına kadar düştü.
Ancak, en son güvenlik güncellemeleri olmadan tarayıcılar çalışan kullanıcılar olduğu için, özellikle Internet Explorer olduğu için EKS tam olarak hedefleri tükenmedi.
Kısa süre önce araştırılan kampanya, özel hazırlanmış bir web sitesini görüntülerken bellek bozulmasına neden olan bir İnternet Explorer güvenlik açığı olan CVE-2021-26411'den yararlanıyor.
Tehdit aktörleri, Rusça konuşan forumlarda yaygın olarak dolaşan ucuz ama güçlü bir bilgi açan kötü amaçlı yazılım olan makineyi tehlikeye atmak ve Redline'ı dağıtmak için istismar kullanıyor.
Oradan, rakipler kripto para birimi cüzdan anahtarları, kredi kartı ayrıntıları ve web tarayıcılarında depolanan hesap kimlik bilgileri gibi hassas kullanıcı ayrıntılarını yayar.
Adından da anlaşılacağı gibi, teçhizat EK, hedefte gerekli kabuk kodu yürütmesini gerçekleştirerek ağ girişini otomatikleştirmek için bir dizi istismar içerir.
2016'dan beri çok sayıda kampanyada yaygın olarak kullanılmıştır. Popülerliği, 2018'de ve 2019'da Nemty, Sodinokibi/Revil, Buran ve Eris gibi fidye yazılımı dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak için doruğa ulaşmıştır.
Bir zamanlar JavaScript, VBScript, DOSWF ve diğer diğer teknolojileri birleştirmesi nedeniyle paketleme, şaşkınlık ve yürütme için kullanılan diğer kitlere tercih edildi.
Bugün, Rig istismar prestijli statüsünü kaybetti, ancak bazı tehdit aktörleri, geçen yıl olduğu gibi, boşaltıcı kötü amaçlı yazılımları düşürdüğü gibi kötü amaçlı yazılım sunmayı hala yararlı buluyor.
Son kampanya, Rig Ek'in CVE-2021-26411'i, Redline Stealer'ın bir kopyasını hedefe paketlenmiş formda kaçıran bir enfeksiyon sürecini başlatmak için CVE-2021-26411'i dahil ettiğini tespit eden araştırmacılar tarafından keşfedildi.
Exploit, geçici bir dizinde bir JavaScript dosyasını bırakan yeni bir komut satırı işlemi oluşturur ve bu da ikinci bir RC4 şifreli yükü indirir ve başlatır.
Redline Stealer'ın ambalajı, dekompresyonlar, anahtar alma, çalışma zamanı şifre çözme ve montaj eylemlerinden oluşan altı aşamalı bir işlemdir. Ortaya çıkan DLL dosyaları, AV algılamasından kaçınmak için asla disk belleğine dokunmaz.
Redline, tehlikeye atılmış bir .NET yürütülebilir dosyası olarak uzlaştıktan sonra, bu kampanyada C2 sunucusuna bağlanmaya çalışır, 185.215.113.121 Bağlantı Noktası 15386 üzerinden.
İletişim şifreli bir HTTP olmayan kanal kullanırken, ilk istek de yetkilendirmeyi içerir. İkinci istek, ana bilgisayarda hangi eylemlerin gerçekleştirileceğini belirleyen bir ayar listesi ile cevaplanır.
Bundan sonra Redline, bu ayarlara göre veri toplamaya başlar ve web tarayıcıları, VPN'ler, FTP istemcileri, anlaşmazlık, telgraf, buhar ve kripto para cüzdanları/eklentileri gibi geniş bir yazılım setini hedefler.
Ayrıca, Redline, Windows kullanıcı adı ve seri numarası, yüklü yazılım listesi, çalışan işlemlerin bir listesi, saat dilimi, aktif dil ve ekran görüntüsü dahil olmak üzere C2'ye bir sistem bilgisi paketi gönderir.
Redline'ın dağılımındaki çeşitlilik, her biri kendi yaklaşımı olan birçok tehdit aktörünün elinde olması gerçeğinden kaynaklanmaktadır.
Redline daha önce YouTube'da sahte valorant hileleri, sahte omicron stat sayacı uygulamaları, sahte Windows 11 yükseltmeleri ve kötü niyetli Microsoft Excel XLL eklentileri ile dağıtılmıştır.
Bu yöntemler kullanıcı eylemi gerektirir ve daha geniş bir kitleyi hedef alırken, Rig Wxoit kitinin eklenmesi enfeksiyon sürecini otomatikleştirir, ancak kurbanı hala Internet Explorer'ın savunmasız bir versiyonunu çalıştıranlarla sınırlar.
Yeni Zingostealer Infostealer daha fazla kötü amaçlı yazılım, kriptominer bırakıyor
Yeni güçlü Prynt Stealer Malware ayda sadece 100 $ satıyor
Yeni FFDroider Kötü Yazılım Facebook, Instagram, Twitter Hesapları Çalıyor
WhatsApp Sesli Mesaj Kimlik avı e-postaları Info-Dayanan Kötü Yazılımları İttirin
Raccoon Stealer Malware, Ukrayna'daki Savaş nedeniyle operasyonları askıya alıyor
Kaynak: Bleeping Computer