Um novo ladrão de informações foi encontrado aproveitando o bytecode Lua para maior furtividade e sofisticação, revelam as descobertas do McAfee Labs.
A empresa de segurança cibernética avaliou que period uma variante de um malware conhecido chamado RedLine Stealer devido ao fato de que o endereço IP do servidor de comando e controle (C2) foi previamente identificado como associado ao malware.
O RedLine Stealer, documentado pela primeira vez em março de 2020, normalmente é entregue por e-mail e campanhas de malvertising, diretamente ou por meio de kits de exploração e malware de carregamento, como dotRunpeX e HijackLoader.
O malware pronto para uso é capaz de coletar informações de carteiras de criptomoedas, software program VPN e navegadores da net, como credenciais salvas, dados de preenchimento automático, informações de cartão de crédito e geolocalização com base nos endereços IP das vítimas.
Ao longo dos anos, o RedLine Stealer foi cooptado por vários atores de ameaças em suas cadeias de ataque, tornando-se uma cepa predominante na América do Norte, América do Sul, Europa, Ásia e Austrália.
A sequência de infecção identificada pela McAfee abusa do GitHub, usando dois dos repositórios oficiais da Microsoft para a implementação da C++ Normal Library (STL) e do vcpkg para hospedar a carga carregada de malware na forma de arquivos ZIP.
Atualmente não se sabe como os arquivos foram carregados no repositório, mas a técnica é um sinal de que os agentes da ameaça estão aproveitando a confiança associada a repositórios confiáveis para distribuir malware. Os arquivos ZIP não estão mais disponíveis para obtain nos repositórios da Microsoft.
O arquivo ZIP (“Cheat.Lab.2.7.2.zip” e “Cheater.Professional.1.6.0.zip”) se disfarça como um cheat de jogo, indicando que os jogadores são provavelmente o alvo da campanha. Ele vem equipado com um instalador MSI projetado para executar o bytecode Lua malicioso.
“Essa abordagem oferece a vantagem de ofuscar ataques maliciosos e evitar o uso de scripts facilmente reconhecíveis como wscript, JScript ou script PowerShell, melhorando assim as capacidades de furtividade e evasão para o ator da ameaça”, disseram os pesquisadores Mohansundaram M. e Neil Tyagi.
Na tentativa de transmitir o malware para outros sistemas, o instalador do MSI exibe uma mensagem solicitando que a vítima compartilhe o programa com seus amigos para obter a versão desbloqueada do software program.
O executável “compiler.exe” dentro do instalador, ao executar o bytecode Lua embutido no arquivo “readme.txt” presente no arquivo ZIP, configura a persistência no host usando uma tarefa agendada e descarta um arquivo CMD, que, em por sua vez, executa “compiler.exe” com outro nome “NzUw.exe”.
Na fase ultimate, “NzUw.exe” inicia a comunicação com um servidor de comando e controle (C2) by way of HTTP, o referido endereço IP atribuído ao RedLine.
O malware funciona mais como um backdoor, executando tarefas obtidas do servidor C2 (por exemplo, tirar capturas de tela) e exfiltrando os resultados de volta para ele.
O método exato pelo qual os hyperlinks para os arquivos ZIP são distribuídos é atualmente desconhecido. No início deste mês, Checkmarx revelou como os agentes de ameaças estão aproveitando a funcionalidade de pesquisa do GitHub para enganar usuários desavisados e fazê-los baixar repositórios carregados de malware.
O desenvolvimento ocorre no momento em que a Recorded Future detalhou uma “operação de crime cibernético em larga escala em língua russa” que destaca a comunidade de jogos e aproveita iscas falsas de jogos da Web3 para fornecer malware capaz de roubar informações confidenciais de usuários de macOS e Home windows, uma técnica chamada lure phishing.
“A campanha envolve a criação de projetos de imitação de jogos Web3 com pequenas modificações de nome e marca para parecerem legítimos, juntamente com contas falsas de mídia social para reforçar sua autenticidade”, disse o Insikt Group.
“As principais páginas desses projetos oferecem downloads que, uma vez instalados, infectam dispositivos com vários tipos de malware “infostealer”, como Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys ou RisePro, dependendo do sistema operacional.”
Ele também segue uma onda de campanhas de malware direcionadas a ambientes corporativos com carregadores como o PikaBot e uma nova variedade chamada NewBot Loader.
“Os invasores demonstraram uma ampla gama de técnicas e vetores de infecção em cada campanha, com o objetivo de entregar a carga útil do PikaBot”, disse a McAfee.
Isso inclui um ataque de phishing que aproveita o sequestro de conversas por e-mail e uma falha do Microsoft Outlook chamada MonikerLink (CVE-2024-21413) para induzir as vítimas a baixar o malware de um compartilhamento SMB.
