Новый Windows-инфостилер стал улучшенной версией RedLine

Татьяна Никитина 11 Апреля 2022 - 16:08

...

Новый Windows-инфостилер стал улучшенной версией RedLine

Исследователь сетевых угроз Брэд Дункан (Brad Duncan) обнаружил спам-кампанию, нацеленную на распространение инфостилера META (не путать с организацией Meta, признанной в России экстремисткой). Злоумышленники маскируют свои письма под извещение о статусе платежа и снабжают их вредоносным вложением в формате .xls.

Похититель паролей META появился на черном рынке всего месяц назад. Новый Windows-зловред позиционируется как улучшенная версия RedLine и предоставляется в пользование по подписке — как услуга (Malware-as-a-Service, MaaS).

Вредонос умеет воровать учетные данные, сохраненные в браузерах (Chrome, Edge, Firefox), и ключи к криптокошелькам. Он также с помощью PowerShell вносит свой exe-файл в список исключений Microsoft Defender, чтобы снизить риск обнаружения.

Цепочка заражения в рамках выявленной киберкампании вполне стандартна. Прикрепленный к фальшивому письму документ Excel содержит вредоносный макрос — VBS-код, который получателю предлагается запустить вручную.

Для пущей убедительности потенциальной жертве отображают логотип DocuSign, свидетельствующий о защите контента электронной подписью. После запуска вредоносный скрипт начинает скрытно загружать со сторонних сайтов различные файлы для формирования финальной полезной нагрузки. Их содержимое закодировано по base64, или применен обратный порядок следования байтов — для обхода антивирусов.

Итоговому исполняемому файлу присваивается имя qwveqwveqw.exe (скорее всего случайное). Чтобы обеспечить META Stealer постоянное присутствие, в системном реестре создается новый ключ. С этого момента явным признаком заражения является трафик, который зловредный экзешник генерирует при обмене с C2-сервером (московский 193[.]106[.]191[.]162 в сетях AS-провайдера, зарегистрированного в Красноярске).

По всей видимости, рост популярности нового инфостилера, так же как Mars Stealer и BlackGuard, обусловлен уходом со сцены более мощного конкурента Raccoon. Владельцы этого MaaS-вредоноса свернули свои операции в конце прошлого месяца — но пообещали вернуться.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В России вновь заработал Speedtest

Яков Шпунт 26 Ноября 2025 - 09:03

Информационные войны Общее

В России, по крайней мере в ряде регионов, вновь заработал сервис Speedtest от американской компании Ookla, который был заблокирован в конце июля. Роскомнадзор официально о разблокировке не сообщал. При этом мобильное приложение для iOS и Android стабильно функционирует в нескольких регионах страны.

На возобновление работы Speedtest первым обратил внимание «Код Дурова».

С доступностью официального сайта и веб-версии ситуация неоднозначная: в одних регионах они по-прежнему недоступны, в других — открываются без проблем. Корреспонденты «Кода Дурова» также отметили, что у одних провайдеров сервис работает, тогда как у других — нет.

У автора этих строк открывались и веб-версия на стационарном компьютере, и мобильное приложение у двух мобильных операторов. Результаты измерений выглядели достоверно, однако подключение к серверам, задействованным в тестировании скорости, устанавливалось заметно медленнее обычного.

Speedtest был заблокирован Роскомнадзором 30 июля. Ведомство объяснило решение угрозами, которые могли повлиять на безопасность функционирования сетей связи и устойчивость национального сегмента интернета.

О возможной разблокировке сервиса официальных комментариев пока не поступало.