Um novo malware de roubo de informações, relacionado ao Redline e que se disfarça de um cheat para jogos chamado 'Cheat Lab', está prometendo aos usuários uma cópia gratuita se eles convencerem seus amigos a instalar o software também.
O Redline é um malware de roubo de informações potente, capaz de coletar informações sensíveis de computadores infectados, incluindo senhas, cookies, informações de preenchimento automático e informações de carteiras de criptomoedas.
Esse malware é muito popular entre os cibercriminosos e é distribuído mundialmente usando diversos canais de distribuição.
Pesquisadores de ameaças da McAfee relataram que o novo ladrão de informações utiliza bytecode Lua para evitar detecção, permitindo que o malware se injete em processos legítimos para se manter oculto e também aproveite a performance da compilação Just-In-Time (JIT).
Os pesquisadores associam esta variante ao Redline, pois ela usa um servidor de comando e controle anteriormente associado ao malware.
No entanto, o malware não exibe comportamentos tipicamente associados ao Redline, como roubar informações de navegadores, salvar senhas e cookies.
Os payloads maliciosos do Redline se passam por demos de ferramentas de trapaça chamadas "Cheat Lab" e "Cheater Pro" por meio de URLs vinculadas ao repositório 'vcpkg' da Microsoft no GitHub.
O malware é distribuído como arquivos ZIP contendo um instalador MSI que, ao ser executado, descompacta dois arquivos, compiler.exe e lua51.dll.
Ele também solta um arquivo 'readme.txt' contendo o malicious Lua bytecode.
Esta campanha utiliza um atrativo interessante para distribuir ainda mais o malware, dizendo às vítimas que elas podem obter uma cópia totalmente licenciada do programa de trapaça se convencerem seus amigos a instalá-lo também.
A mensagem também contém uma chave de ativação para adicionar legitimidade.
"Para desbloquear a versão completa, simplesmente compartilhe este programa com seu amigo.
Uma vez que você faça isso, o programa será automaticamente desbloqueado," diz o prompt de instalação mostrado abaixo.
Para evitar detecção, o payload do malware não é distribuído como um executável, mas sim como bytecode não compilado.
Quando instalado, o programa compiler.exe compila o bytecode Lua armazenado no arquivo readme.txt e o executa.
O mesmo executável também configura a persistência criando tarefas agendadas que são executadas durante a inicialização do sistema.
A McAfee relata que o malware usa um mecanismo de fallback para persistência, copiando os três arquivos para um caminho aleatório e longo sob dados do programa.
Uma vez ativo no sistema infectado, o malware se comunica com um servidor C2, enviando capturas de tela das janelas ativas e informações do sistema e aguardando por comandos para executar no host.
O método exato usado para a infecção inicial ainda não foi determinado, mas os ladrões de informações são tipicamente espalhados via malvertising, descrições de vídeos no YouTube, downloads P2P e sites enganosos de download de software.
Aconselha-se aos usuários evitar executáveis não assinados e arquivos baixados de sites duvidosos.
Este ataque mostra que até mesmo instalar programas de locais aparentemente confiáveis como o GitHub da Microsoft pode preparar o terreno para uma infecção por Redline.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...