Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Набор эксплойтов RIG жив и доставляет RedLine через баг Internet Explorer

Исследователи из Bitdefender обнаружили новую кампанию киберпреступников, использующих набор эксплойтов RIG для распространения знаменитого вредоноса RedLine, задача которого — красть данные жертвы и передавать их операторам.

Интересно, что наборы эксплойтов вроде RIG, пользовавшиеся ранее приличной популярностью, на сегодняшний день всё больше отходят в тень. А всё благодаря усовершенствованным механизмам защиты браузеров и отказ от «дырявых» технологий вроде Flash Player и Microsoft Sillverlight.

Тем не менее использующие наборы эксплойтов злоумышленники всё ещё могут пробить отдельных пользователей, которые привыкли не обновлять браузер. Например, в описанной Bitdefender кампании RIG доставляет инфостилера с помощью эксплуатации бага в Internet Explorer.

Речь идёт об уязвимости под идентификатором CVE-2021-26411, которая приводит к повреждению памяти при просмотре специально созданного веб-сайта. Если пользователя заманить на такой ресурс, в его систему установится зловред RedLine.

Окопавшись в системе, RedLine собирает и отправляет операторам конфиденциальную информацию: ключи от криптокошельков, данные банковских карт, а также логины и пароли, сохранённые в браузерах.

Согласно отчёту исследователей из Bitdefender, эксплойт сначала сбрасывает в систему файл JavaScript (помещается во временную директорию), который уже после этого загружает и запускает зашифрованный RC4 пейлоад.

Распаковка RedLine представляет собой шестиступенчатый процесс, состоящий из декомпрессии, извлечения ключей, сборки и т. п. В результате файлам в формате DLL удаётся успешно избежать детектирования антивирусными средствами.

К командному серверу по адресу 185.215.113.121 вредонос подключается по порту 15386. Туда же отправляются данные, собранные из VPN - и FTP-клиентов, Discord, Telegram, Steam и криптокошельков.

Кстати, в прошлом месяце стало известно о том, что на YouTube раздают инфостилера RedLine — под видом чита для Valorant. А уже в этом месяце мы писали о Windows-инфостилере, который стал улучшенной версией RedLine.

Срок для Apple истёк: ФАС может перейти от предупреждений к штрафу

15 июля истекает срок, который Федеральная антимонопольная служба дала Apple на выполнение требований российского законодательства. Если компания предписание проигнорирует, следующим шагом может стать антимонопольное дело и оборотный штраф до 4 млрд рублей.

ФАС требует устранить дискриминацию российских поисковых систем и выполнить нормы о предустановке отечественного ПО на устройствах с iOS.

В числе таких приложений называют национальный мессенджер МАКС и российский магазин приложений.

Эксперты, слова которых передают «Известия», сомневаются, что Apple быстро согласится. Российский рынок дает корпорации лишь небольшую долю глобальных продаж, а решения компания принимает с оглядкой на санкции США и риски в других странах.

При этом технически Apple умеет адаптироваться к местным правилам: в Евросоюзе ей пришлось разрешить альтернативные магазины приложений.

Но владельцам iPhone пока можно не готовиться к цифровому апокалипсису. Автоматической блокировки сервисов, отключения смартфонов или превращения iPhone в кирпич после 15 июля не ожидается. Давление, скорее всего, будут усиливать постепенно — через дела, штрафы и возможные ограничения отдельных функций.

Пользователи уже живут в урезанной экосистеме: Apple Pay не работает, приложения банков регулярно исчезают из App Store, а оплачивать iCloud и покупки приходится через посредников. На этом вырос серый рынок объемом около 5 млрд рублей в год, а вместе с ним — мошенники, предлагающие чужие аккаунты и сомнительные схемы пополнения.

Полная блокировка Apple выглядит маловероятной: она ударит прежде всего по миллионам россиян, уже купившим устройства. Поэтому пока спор идет не за судьбу iPhone, а за то, насколько сильно Apple готова игнорировать требования ФАС.

RSS: Новости на портале Anti-Malware.ru