Nova Variante do RedLine Stealer Disfarçada de Truques para Jogos Utiliza Bytecode Lua para Maior Furtividade
22 de Abril de 2024

Um novo ladrão de informações que utiliza bytecode Lua para maior discrição e sofisticação foi descoberto, conforme revelações dos laboratórios da McAfee.

A empresa de cibersegurança avaliou que se trata de uma variante de um malware já conhecido chamado RedLine Stealer, devido ao fato de o endereço IP do servidor de comando e controle (C2) já ter sido identificado anteriormente em associação com esse malware.

O RedLine Stealer, documentado pela primeira vez em março de 2020, é tipicamente entregue via campanhas de email e malvertising, direta ou indiretamente através de exploit kits e malwares carregadores como dotRunpeX e HijackLoader.

O malware pronto para uso é capaz de coletar informações de carteiras de criptomoedas, softwares de VPN e navegadores web, como credenciais salvas, dados de preenchimento automático, informações de cartões de crédito e geolocalizações baseadas nos endereços IP das vítimas.

Ao longo dos anos, o RedLine Stealer foi adotado por diversos atores de ameaças em suas cadeias de ataque, tornando-se uma cepa prevalente que abrange América do Norte, América do Sul, Europa, Ásia e Austrália.

A sequência de infecção identificada pela McAfee abusa do GitHub, utilizando dois dos repositórios oficiais da Microsoft para a implementação da Standard Library (STL) e do vcpkg para hospedar o payload carregado de malware na forma de arquivos ZIP.

Atualmente, não se sabe como os arquivos foram carregados no repositório, mas a técnica é um sinal de que os atores de ameaças estão armando a confiança associada a repositórios confiáveis para distribuir malware.

Os arquivos ZIP já não estão disponíveis para download nos repositórios da Microsoft.

O arquivo ZIP ("Cheat.Lab.2.7.2.zip" e "Cheater.Pro.1.6.0.zip") se passa por um cheat de jogo, indicando que os jogadores provavelmente são o alvo da campanha.

Ele vem equipado com um instalador MSI que é projetado para rodar o malicious Lua bytecode.

"Essa abordagem oferece a vantagem de ofuscar strings maliciosas e evitar o uso de scripts facilmente reconhecíveis como wscript, JScript, ou PowerShell script, aumentando assim as capacidades de discrição e evasão para o ator da ameaça," afirmaram os pesquisadores Mohansundaram M.

e Neil Tyagi.

Na tentativa de passar o malware para outros sistemas, o instalador MSI exibe uma mensagem instando a vítima a compartilhar o programa com seus amigos para obter a versão desbloqueada do software.

O executável "compiler.exe" dentro do instalador, ao rodar o Lua bytecode embutido no arquivo "readme.txt" presente no arquivo ZIP, estabelece persistência no host usando uma tarefa agendada e solta um arquivo CMD, que, por sua vez, executa "compiler.exe" sob outro nome "NzUw.exe".

Na etapa final, "NzUw.exe" inicia comunicações com um servidor C2 sobre HTTP, o endereço IP mencionado anteriormente atribuído ao RedLine.

O malware funciona mais como um backdoor, realizando tarefas obtidas do servidor C2 (como tirar capturas de tela) e exfiltrando os resultados de volta para ele.

O método exato pelo qual os links para os arquivos ZIP são distribuídos é atualmente desconhecido.

No início deste mês, a Checkmarx revelou como atores de ameaças estão aproveitando a funcionalidade de busca do GitHub para enganar usuários desavisados a baixarem repositórios carregados com malware.

Este desenvolvimento ocorre enquanto a Recorded Future detalhou uma "operação de cibercrime em larga escala em língua russa" que visa a comunidade de jogos e utiliza iscas de jogos Web3 falsos para entregar malware capaz de roubar informações sensíveis de usuários macOS e Windows, uma técnica chamada trap phishing.

"A campanha envolve a criação de projetos imitativos de jogos Web3 com leves modificações de nome e branding para parecerem legítimos, junto com contas falsas de mídias sociais para reforçar sua autenticidade," disse o Insikt Group.

"As páginas principais desses projetos oferecem downloads que, uma vez instalados, infectam dispositivos com vários tipos de malware 'infostealer' como Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys ou RisePro, dependendo do sistema operacional."

Isso também segue uma onda de campanhas de malware visando ambientes empresariais com carregadores como PikaBot e uma nova cepa chamada NewBot Loader.

"Os atacantes demonstraram uma diversidade de técnicas e vetores de infecção em cada campanha, visando entregar o payload do PikaBot," disse a McAfee.

Isso inclui um ataque de phishing que aproveita a interceptação de conversas por email e uma falha no Microsoft Outlook chamada MonikerLink ( CVE-2024-21413 ) para atrair vítimas a baixar o malware de um compartilhamento SMB.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...