在本月初,網絡安全公司Proofpoint的研究人員監測到了一起試圖傳播一種名為“RedLine”的新型惡意軟件的垃圾電子郵件活動,主要針對了美國的醫療保健和製造業。
根據Proofpoint研究人員的說法,RedLine是一種信息竊取類惡意軟件,目前可以在俄語黑客論壇上購買到,售價分為精簡版150美元、專業版200美元以及100美元包月三個檔次。
據稱,RedLine不僅能夠從瀏覽器中竊取信息(如保存的登錄名、密碼等),而且還能夠收集有關用戶及其系統的信息(用戶名、國家、硬件配置以及已安裝的殺毒軟件等)。
此外,最新版本的RedLine似乎還新增了能夠竊取加密貨幣冷錢包的功能。
垃圾電子郵件分析
垃圾電子郵件聲稱來自美國一家名為“ Mobility Research”的康復醫療公司,主題為“Please help us with Fighting corona-virus(請幫助我們對抗冠狀病毒)”。顯然,攻擊者是想要冒用合法公司的名義以及利用當下的社會熱點來提高收件人打開電子郵件的概率。
圖1.垃圾電子郵件示例
在收件人點擊了郵件中的下載按鈕之後,一個內嵌RedLine惡意軟件的可執行文件就會從BitBucket(一家源代碼託管網站)上下載。
RedLine的推銷廣告
Proofpoint研究人員在多個論壇上都找到了RedLine的推銷廣告,有些似乎來自官方賣家(精簡版150美元、專業版200美元以及100美元包月),有些似乎是破解版(售價300美元)。
根據官方廣告,RedLine的主要功能如下:
- 從瀏覽器中竊取登錄名和密碼、cookie、自動填充字段以及銀行卡數據(支持的瀏覽器包括所有基於Chromium的瀏覽器以及所有基於Gecko的瀏覽器);
- 從FTP客戶端、IM客戶端中竊取數據;
- 按路徑、擴展名、子目錄爬取指定文件;
- 國家/地區黑名單功能;
- 收集有關受感染系統的信息,包括IP、國家/地區、城市、當前用戶名、HWID、鍵盤佈局、屏幕截圖、屏幕分辨率、操作系統、UAC設置,用戶代理、有關PC硬件的信息(視頻卡,處理器)以及已安裝的殺毒軟件等;
- 竊取加密貨幣冷錢包的功能。
圖2. RedLine的C&C面板(加載程序任務頁面)
圖3 .RedLine的C&C面板(設置頁面)
圖4. RedLine的C&C面板(日誌頁面)
惡意軟件分析
除上述主要功能外,RedLine還能夠執行其他一些任務,如下載並運行其他惡意軟件。
圖5. RedLine的主函數
圖6.負責從基於Chromium的瀏覽器中竊取銀行卡數據的代碼
圖7.負責從指定網址下載文件,並將其注入另一個文件的代碼
結語
RedLine是一種此前從未被公開報道過的新型信息竊取類惡意軟件,目前已被不法分子用來攻擊美國的醫療保健和製造業。除信息竊取功能外,它還具備其他的一些功能,如下載並運行其他惡意軟件。
值得一提的是,RedLine的開發者目前似乎仍在對其進行優化和更新(例如,能夠竊取加密貨幣冷錢包的功能就是在後續版本中新增的),再加上作為惡意軟件即服務,這種新型惡意軟件或將很快在更多國家出現。
閱讀更多 黑客視界 的文章
