Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowy wariant RedLine stealera celuje w graczy plus hostowanie malware za pomocą komentarzy
McAfee na swoim blogu opisuje nowy wariant RedLine stealera. Tym razem złośliwe oprogramowanie celuje w graczy, a dodatkowo wykorzystuje parę ciekawych sztuczek. Malware udaje Cheat Engine, czyli oprogramowanie do wprowadzania różnego rodzaju modyfikacji w grach poprzez zmianę zawartości pamięci.
Pierwsze co zwraca uwagę, to ciekawy zabieg socjotechniczny wykorzystywany do rozprzestrzeniania się. Podczas instalacji pojawia się okno z informacją (rysunek 1), aby podzielić się programem ze znajomymi w celu automatycznej aktywacji pełnej wersji programu.
Rys. 1. Informacja o aktywacji pełnej wersji po podzieleniu się oprogramowaniem. Źródło.
Kolejną ciekawostką, tym razem techniczną, jest dostarczanie złośliwego payloadu w postaci bytecode’u Lua. Prawdopodobnym celem wykorzystania rzadko spotykanego w podobnych zastosowaniach języka jest zarówno utrudnienie wykrycia złośliwego kodu, jak i analizy działania.
Ostatnią, a przy tym chyba najciekawszą techniką jest wykorzystanie do hostowania zainfekowanych plików serwisu GitHub i legalnych repozytoriów, których właścicielem jest Microsoft. Sprawę opisuje szerzej serwis Bleeping Computer. W skrócie: chodzi o możliwość zamieszczania załączników w komentarzach w repozytorium projektu hostowanego na GitHubie. Dodane w ten sposób pliki są kopiowane na CDN GitHub. Zarówno pliki, jak i linki do nich pozostają aktywne nawet po usunięciu komentarza z tak załączonym plikiem. Należy zauważyć, że wygenerowane linki zawierają nazwę projektu, którego dotyczył komentarz, co zwiększa ich wiarygodność i może powodować wrażenie, że pliki są powiązane z projektem, którego dotyczy komentarz.
Aktualizacja:
Jak się okazuje nie tylko GitHub jest podatny na hostowanie złośliwego oprogramowania “wyglądającego” jak pliki projektu (rysunek 2)
Rys. 2. Informacja o podatności GitLab, źródło.
O sprawie będziemy jeszcze informować.
~Paweł Różański
Na prawie każdym forum można dodać załącznik, ale zwykle moderatorzy mogą je usuwać. Na Gitlabach to może nie jest aż taki problem, ponieważ administrator może usunąć pliki i linki nie będą działać. Na Githubie jesteśmy na łasce dostawcy.
Pomysł z aktywacją byłby niezły, ale oszuści mogą niechętnie rozgłaszać znajomym, że mają aimboty. Zawsze znajomy może to zgłosić.