Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Исследователи из Bitdefender обнаружили новую кампанию киберпреступников, использующих набор эксплойтов RIG для распространения знаменитого вредоноса RedLine, задача которого — красть данные жертвы и передавать их операторам.

Интересно, что наборы эксплойтов вроде RIG, пользовавшиеся ранее приличной популярностью, на сегодняшний день всё больше отходят в тень. А всё благодаря усовершенствованным механизмам защиты браузеров и отказ от «дырявых» технологий вроде Flash Player и Microsoft Sillverlight.

Тем не менее использующие наборы эксплойтов злоумышленники всё ещё могут пробить отдельных пользователей, которые привыкли не обновлять браузер. Например, в описанной Bitdefender кампании RIG доставляет инфостилера с помощью эксплуатации бага в Internet Explorer.

Речь идёт об уязвимости под идентификатором CVE-2021-26411, которая приводит к повреждению памяти при просмотре специально созданного веб-сайта. Если пользователя заманить на такой ресурс, в его систему установится зловред RedLine.

Окопавшись в системе, RedLine собирает и отправляет операторам конфиденциальную информацию: ключи от криптокошельков, данные банковских карт, а также логины и пароли, сохранённые в браузерах.

Согласно отчёту исследователей из Bitdefender, эксплойт сначала сбрасывает в систему файл JavaScript (помещается во временную директорию), который уже после этого загружает и запускает зашифрованный RC4 пейлоад.

Распаковка RedLine представляет собой шестиступенчатый процесс, состоящий из декомпрессии, извлечения ключей, сборки и т. п. В результате файлам в формате DLL удаётся успешно избежать детектирования антивирусными средствами.

К командному серверу по адресу 185.215.113.121 вредонос подключается по порту 15386. Туда же отправляются данные, собранные из VPN - и FTP-клиентов, Discord, Telegram, Steam и криптокошельков.

Кстати, в прошлом месяце стало известно о том, что на YouTube раздают инфостилера RedLine — под видом чита для Valorant. А уже в этом месяце мы писали о Windows-инфостилере, который стал улучшенной версией RedLine.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Баскетболисту Касаткину суд отказал в освобождении из-под стражи

Парижский суд отклонил ходатайство российского баскетболиста Даниила Касаткина об освобождении под судебный надзор. Заседание прошло без объяснения причин такого решения, несмотря на доводы защиты. Таким образом, спортсмен останется под арестом до следующих слушаний по делу об экстрадиции.

Российский баскетболист Даниил Касаткин был задержан во Франции в конце июня по запросу властей США. Однако известно об этом стало лишь спустя почти две недели.

Касаткину инкриминируется участие в переговорах от имени группировки операторов программ-вымогателей. По данным следствия, от действий злоумышленников пострадали около 900 американских организаций, включая два государственных агентства. Сам спортсмен все обвинения отрицает.

«Факты, вменяемые Касаткину в вину, крайне серьёзные: от его действий пострадали 900 американских компаний. Безумие считать гарантии Касаткина достаточными», — цитирует РИА Новости Спорт слова представителя обвинения в суде.

В начале заседания судья отметила, что в США Касаткину может грозить до 25 лет лишения свободы по статьям о компьютерном и электронном мошенничестве.

В итоге суд отклонил прошение об освобождении под судебный надзор. Как сообщил адвокат баскетболиста Фредерик Бело, слушания по вопросу экстрадиции в США назначены на сентябрь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru