Nowy wariant RedLine stealera celuje w graczy plus hostowanie malware za pomocą komentarzy

McAfee na swoim blogu opisuje nowy wariant RedLine stealera. Tym razem złośliwe oprogramowanie celuje w graczy, a dodatkowo wykorzystuje parę ciekawych sztuczek. Malware udaje Cheat Engine, czyli oprogramowanie do wprowadzania różnego rodzaju modyfikacji w grach poprzez zmianę zawartości pamięci.

Pierwsze co zwraca uwagę, to ciekawy zabieg socjotechniczny wykorzystywany do rozprzestrzeniania się. Podczas instalacji pojawia się okno z informacją (rysunek 1), aby podzielić się programem ze znajomymi w celu automatycznej aktywacji pełnej wersji programu.

Rys. 1. Informacja o aktywacji pełnej wersji po podzieleniu się oprogramowaniem. Źródło.

Kolejną ciekawostką, tym razem techniczną, jest dostarczanie złośliwego payloadu w postaci bytecode’u Lua. Prawdopodobnym celem wykorzystania rzadko spotykanego w podobnych zastosowaniach języka jest zarówno utrudnienie wykrycia złośliwego kodu, jak i analizy działania.

Ostatnią, a przy tym chyba najciekawszą techniką jest wykorzystanie do hostowania zainfekowanych plików serwisu GitHub i legalnych repozytoriów, których właścicielem jest Microsoft. Sprawę opisuje szerzej serwis Bleeping Computer. W skrócie: chodzi o możliwość zamieszczania załączników w komentarzach w repozytorium projektu hostowanego na GitHubie. Dodane w ten sposób pliki są kopiowane na CDN GitHub. Zarówno pliki, jak i linki do nich pozostają aktywne nawet po usunięciu komentarza z tak załączonym plikiem. Należy zauważyć, że wygenerowane linki zawierają nazwę projektu, którego dotyczył komentarz, co zwiększa ich wiarygodność i może powodować wrażenie, że pliki są powiązane z projektem, którego dotyczy komentarz.

Aktualizacja: 

Jak się okazuje nie tylko GitHub jest podatny na hostowanie złośliwego oprogramowania “wyglądającego” jak pliki projektu (rysunek 2)

Rys. 2. Informacja o podatności GitLab, źródło.

O sprawie będziemy jeszcze informować.

~Paweł Różański