警惕！RedLine 信息数据窃取器的新变种！

2024-10-31

据BleepingComputer消息，RedLine 信息窃取器的新变种正通过电子邮件进行传播，以COVID-19 Omicron 病例计数器应用程序作为诱饵。

RedLine 是一种商业化信息窃取程序，通常以Chrome 、 Edge 和 Opera 等流行网络浏览器为目标实施攻击活动。

2020年3月，RedLine 首次出现在俄罗斯暗网上。目前，该程序在暗网以大约 200 美元的价格出售，暗网络市场超过一半的被盗用户凭证均由其提供。

该恶意软件正在积极开发和不断改进，并使用多种分发方式进行广泛部署。

RedLine 的目标是存储在浏览器上的用户账户凭证、虚拟专用网密码、信用卡详细信息、cookies、IM内容、FTP凭证、加密货币钱包数据和系统信息。

RedLine 的最新变体由Fortinet 分析师发现，相较于之前版本，新变体在信息窃取功能的基础上，做了改进并增加了几项新的功能。

窃取信息的目标范围更广

新变种添加了更多信息点以进行渗出，例如：

显卡名称
BIOS 制造商、识别码、序列号、发布日期和版本
磁盘驱动器制造商、型号、总磁头数和签名
处理器 (CPU) 信息，例如唯一 ID、处理器 ID、制造商、名称、主频和主板信息

这些数据在"Omicron Stats.exe "诱饵被首次执行时被获取，该诱饵解压了恶意软件并将其注入vbc.exe中。

除了Omicron，新 RedLine 变体还针对 Opera GX 网络浏览器等应用程序。

此外，该恶意软件已经能通过搜索 Telegram 文件夹，定位图像和对话历史记录，并将它们发送回攻击者的服务器。之后对本地 Discord 资源进行详细检查，直到发现和窃取访问令牌、日志和数据库文件。

搜索 Discord日志的新 RedLine 变体

恶意软件新变体活动特点

在分析新RedLine 变体活动时，研究人员发现，英国的一个 IP 地址通过 Telegram 消息服务，试图指挥和控制其他计算机服务器。

“受控”的受害者分布在 12 个国家，但类似这样的攻击却并未针对特定的组织或个人。

“此变体通过14588端口将 207[.]32.217.89 作为其 C2 服务器，该 IP 属于 1GServers 。” Fortinet 报告解释说，“在此变体发布后的几周内，我们注意到一个 IP 地址 (149[.]154.167.91) 与此 C2 服务器通信。”

由于这是 RedLine 的新版本，我们应该很快就能看到其他威胁者利用它来发起新的网络攻击。[来源：FREEBUF]

编辑推荐

安企神软件系统文件加密软件–- 企业数据保密系统！防员工离职拷贝数据泄密、防外发文件数据泄密，防第三方扩散机密文件泄密！私下将设计图纸、开发代码、财务信息、客户资料等等重要的电子文档在完全不改变用户的习惯下进行自动加密，即使这些文档被非法带离企业也无法解密和应用

对于外发给客户（第三方）的文件，可控制对方的打开时间和次数等限制！同时可设置对员工电脑文件自动备份，防止恶意删除造成企业数据的遗失！从源头防控企业数据安全！

TAG：

上一篇 : 预订服务平台 FlexBooker超370万账户遭数据泄露

下一篇 : RedLine借奥密克戎肆虐进行传播窃取用户数据信息

文章标签

文档加密软件

文档信息安全管理软件

上网行为管理软件

应用程序管控软件

敏感文件管理软件

U盘设备管控软件

文件分发软件

IT资产管理软件

电脑操作记录软件

远程控制软件

聊天管控软件

敏感信息报警

屏幕管控

内网管理

深度行为分析

电脑屏幕录像

实时管控

补丁管理

网络准入控制管理系统