Новый Windows-инфостилер стал улучшенной версией RedLine
Главная » Новости

Новый Windows-инфостилер стал улучшенной версией RedLine

Татьяна Никитина 11 Апреля 2022 - 16:08
...
Новый Windows-инфостилер стал улучшенной версией RedLine

Исследователь сетевых угроз Брэд Дункан (Brad Duncan) обнаружил спам-кампанию, нацеленную на распространение инфостилера META (не путать с организацией Meta, признанной в России экстремисткой). Злоумышленники маскируют свои письма под извещение о статусе платежа и снабжают их вредоносным вложением в формате .xls.

Похититель паролей META появился на черном рынке всего месяц назад. Новый Windows-зловред позиционируется как улучшенная версия RedLine и предоставляется в пользование по подписке — как услуга (Malware-as-a-Service, MaaS).

Вредонос умеет воровать учетные данные, сохраненные в браузерах (Chrome, Edge, Firefox), и ключи к криптокошелькам. Он также с помощью PowerShell вносит свой exe-файл в список исключений Microsoft Defender, чтобы снизить риск обнаружения.

Цепочка заражения в рамках выявленной киберкампании вполне стандартна. Прикрепленный к фальшивому письму документ Excel содержит вредоносный макрос — VBS-код, который получателю предлагается запустить вручную.

 

Для пущей убедительности потенциальной жертве отображают логотип DocuSign, свидетельствующий о защите контента электронной подписью. После запуска вредоносный скрипт начинает скрытно загружать со сторонних сайтов различные файлы для формирования финальной полезной нагрузки. Их содержимое закодировано по base64, или применен обратный порядок следования байтов — для обхода антивирусов.

Итоговому исполняемому файлу присваивается имя qwveqwveqw.exe (скорее всего случайное). Чтобы обеспечить META Stealer постоянное присутствие, в системном реестре создается новый ключ. С этого момента явным признаком заражения является трафик, который зловредный экзешник генерирует при обмене с C2-сервером (московский 193[.]106[.]191[.]162  в сетях AS-провайдера, зарегистрированного в Красноярске).

 

По всей видимости, рост популярности нового инфостилера, так же как Mars Stealer и BlackGuard, обусловлен уходом со сцены более мощного конкурента Raccoon. Владельцы этого MaaS-вредоноса свернули свои операции в конце прошлого месяца — но пообещали вернуться.

Следующая главная новость »
AM LiveКонтейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Более 1000 геймеров заразили зловредом под видом читов, дело передали в суд
Татьяна Никитина 19 Февраля 2026 - 16:37
ТрояныСоответствие законодательству РФ Домашние пользователиГосударство
Более 1000 геймеров заразили зловредом под видом читов, дело передали в суд

В Ханты-Мансийском автономном округе выдвинуты обвинения в рамках уголовного дела о распространении вредоносного софта под видом дополнений к играм. Фигуранты — пятеро жителей Югры, Республики Коми и Тюменской области в возрасте от 21 до 36 лет.

По версии следствия, неназванного зловреда подельники использовали для получения доступа к компьютерам геймеров и кражи конфиденциальной информации на заказ и за вознаграждение.

Вредонос позиционировался как программа, способная обеспечить игровое преимущество. Для его распространения злоумышленники публиковали на популярном видеохостинге фейковые деморолики, вставляя в описания коварную ссылку.

В результате реализации мошеннической схемы в период с сентября 2021 года по май 2022-го было заражено более 1000 устройств в России и за ее пределами.

Уголовное дело было возбуждено по признакам совершения преступлений, предусмотренных ч. 2 ст. 273 УК РФ (распространение / использование вредоносных программ по сговору, до пяти лет лишения свободы).

В настоящее время расследование завершено, все материалы и обвинительное заключение переданы в Сургутский горсуд для рассмотрения по существу.

AM LiveКонтейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!
Совет Microsoft по обновлению Windows вызвал шквал критики
Новость
Совет Microsoft по обновлению Windows вызвал шквал критики
В iOS 26.4 включат защиту от кражи iPhone по умолчанию
Новость
В iOS 26.4 включат защиту от кражи iPhone по умолчанию
Возбуждено уголовное дело против пенсионерки, разыгравшей схему Долиной
Новость
Возбуждено уголовное дело против пенсионерки, разыгравшей сх...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.