Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowy wariant RedLine stealera celuje w graczy plus hostowanie malware za pomocą komentarzy

24 kwietnia 2024, 05:09 | W biegu | 1 komentarz

McAfee na swoim blogu opisuje nowy wariant RedLine stealera. Tym razem złośliwe oprogramowanie celuje w graczy, a dodatkowo wykorzystuje parę ciekawych sztuczek. Malware udaje Cheat Engine, czyli oprogramowanie do wprowadzania różnego rodzaju modyfikacji w grach poprzez zmianę zawartości pamięci.

Pierwsze co zwraca uwagę, to ciekawy zabieg socjotechniczny wykorzystywany do rozprzestrzeniania się. Podczas instalacji pojawia się okno z informacją (rysunek 1), aby podzielić się programem ze znajomymi w celu automatycznej aktywacji pełnej wersji programu.

Rys. 1. Informacja o aktywacji pełnej wersji po podzieleniu się oprogramowaniem. Źródło.

Kolejną ciekawostką, tym razem techniczną, jest dostarczanie złośliwego payloadu w postaci bytecode’u Lua. Prawdopodobnym celem wykorzystania rzadko spotykanego w podobnych zastosowaniach języka jest zarówno utrudnienie wykrycia złośliwego kodu, jak i analizy działania.

Ostatnią, a przy tym chyba najciekawszą techniką jest wykorzystanie do hostowania zainfekowanych plików serwisu GitHub i legalnych repozytoriów, których właścicielem jest Microsoft. Sprawę opisuje szerzej serwis Bleeping Computer. W skrócie: chodzi o możliwość zamieszczania załączników w komentarzach w repozytorium projektu hostowanego na GitHubie. Dodane w ten sposób pliki są kopiowane na CDN GitHub. Zarówno pliki, jak i linki do nich pozostają aktywne nawet po usunięciu komentarza z tak załączonym plikiem. Należy zauważyć, że wygenerowane linki zawierają nazwę projektu, którego dotyczył komentarz, co zwiększa ich wiarygodność i może powodować wrażenie, że pliki są powiązane z projektem, którego dotyczy komentarz.

Aktualizacja: 

Jak się okazuje nie tylko GitHub jest podatny na hostowanie złośliwego oprogramowania “wyglądającego” jak pliki projektu (rysunek 2)

Rys. 2. Informacja o podatności GitLab, źródło.

O sprawie będziemy jeszcze informować.

~Paweł Różański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. SeeM

    Na prawie każdym forum można dodać załącznik, ale zwykle moderatorzy mogą je usuwać. Na Gitlabach to może nie jest aż taki problem, ponieważ administrator może usunąć pliki i linki nie będą działać. Na Githubie jesteśmy na łasce dostawcy.

    Pomysł z aktywacją byłby niezły, ale oszuści mogą niechętnie rozgłaszać znajomym, że mają aimboty. Zawsze znajomy może to zgłosić.

    Odpowiedz

Odpowiedz