Μια νέα παραλλαγή του RedLine info-stealer malware διανέμεται μέσω emails, που χρησιμοποιούν την μετάλλαξη Omicron του COVID-19 για να τραβήξουν την προσοχή των χρηστών.
Το RedLine είναι ένα αρκετά δημοφιλές κακόβουλο λογισμικό που βελτιώνεται συνεχώς και χρησιμοποιεί πολλαπλές μεθόδους διανομής.
RedLine malware
Το RedLine στοχεύει account credentials που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, VPN passwords, cookies, FTP credentials, στοιχεία πιστωτικών καρτών, περιεχόμενο άμεσων μηνυμάτων, cryptocurrency wallet data και πληροφορίες συστήματος.
Η πιο πρόσφατη παραλλαγή του malware εντοπίστηκε από αναλυτές της Fortinet. Οι ερευνητές παρατήρησαν πολλά νέα χαρακτηριστικά και βελτιώσεις που έρχονται για να ενισχύσουν την υπάρχουσα δυνατότητα κλοπής πληροφοριών.
Η νέα παραλλαγή στοχεύει στην κλοπή περισσότερων δεδομένων
Η νέα παραλλαγή κλέβει περισσότερα στοιχεία από το αρχικό RedLine, όπως:
Όνομα κάρτας γραφικών
Κατασκευαστής BIOS, identification code, σειριακός αριθμός, ημερομηνία κυκλοφορίας και έκδοση
Κατασκευαστής μονάδας δίσκου, μοντέλο και signature
Πληροφορίες επεξεργαστή (CPU) όπως unique ID, processor ID, κατασκευαστής, όνομα, max clock speed και πληροφορίες motherboard
Αυτά τα δεδομένα λαμβάνονται κατά την πρώτη εκτέλεση του δολώματος “Omicron Stats.exe“, το οποίο κάνει unpack το κακόβουλο λογισμικό και γίνεται injection στο vbc.exe.
Οι πρόσθετες εφαρμογές που στοχεύει η νέα παραλλαγή RedLine είναι τα Opera GX web browser, OpenVPN και ProtonVPN.
Omicron COVID-19 malware
Οι προηγούμενες εκδόσεις του RedLine στόχευαν το κανονικό Opera.
Σύmφωνα με τους ερευνητές, το κακόβουλο λογισμικό αναζητά τώρα και τους φακέλους του Telegram για να εντοπίσει εικόνες και ιστορικά συνομιλιών και να τα στείλει στους servers που ελέγχονται από τους επιτιθέμενους.
Τέλος, οι τοπικοί πόροι του Discord ελέγχονται πιο δυναμικά για την ανακάλυψη και την κλοπή tokens, logs και database files.
Χαρακτηριστικά της καμπάνιας RedLine που εκμεταλλεύεται τη μετάλλαξη Omicron του COVID-19
Οι ερευνητές βρήκαν μια διεύθυνση IP στη Μεγάλη Βρετανία που επικοινωνούσε με τον command and control server μέσω της υπηρεσίας μηνυμάτων Telegram.
Τα θύματα προέρχονται από 12 χώρες και η επίθεση δεν επικεντρώνεται σε συγκεκριμένους οργανισμούς ή άτομα.
Αυτή η παραλλαγή χρησιμοποιεί το 207[.]32.217.89 ως C2 server μέσω της θύρας 14588. Αυτή η IP ανήκει σε 1gservers.
“Κατά τη διάρκεια των λίγων εβδομάδων μετά την κυκλοφορία αυτής της παραλλαγής, παρατηρήσαμε ότι μια διεύθυνση IP (149[.]154.167.91) επικοινωνούσε συγκεκριμένα με αυτόν τον διακομιστή C2“, εξηγεί η Fortinet.
Πηγή: Bleeping Computer
Reviewed by D.Pap
on
12:03 μ.μ.
Rating:
pg-slot เว็บที่แจกการสูตรการทำเงินของ Jokergame อย่ารอช้าหากไม่รีบระวัง ชวดรางวัลใหญ่ไปง่ายๆเลยนะ พร้อมแล้วก็มาเลยที่ PG SLOT
ΑπάντησηΔιαγραφήPlease, don’t ever stop writing.
ΑπάντησηΔιαγραφήI am unable to read articles online very often, but I’m glad I did today.
water based lubricant
electric masturbation cup
pg game slot pocket games ได้ก้าวขึ้นมาเป็นหนึ่งในนวัตกรรมที่น่าติดตามในโลกของเกมสล็อตออนไลน์ pg slot เกมนี้ไม่เพียงทำให้ผู้เล่นตื่นเต้นและสนุกสนาน กราฟิกที่ทันสมัยและความคล่องตัว
ΑπάντησηΔιαγραφή