Saldırganlar, kendinden imzalı bir sertifikayla imzalanmış, yeni bir sürüm gibi görünen kötü amaçlı bir .NET tabanlı HPDxLIB aktivatörü dağıtıyor ve iş süreçlerini otomatikleştiren girişimcileri hedef alarak sistemlerini tehlikeye atmayı amaçlıyor.
Forumlarda işletme sahiplerini ve muhasebecileri hedef alan kötü niyetli etkinleştiriciler dağıtıyorlar, aldatıcı bir şekilde bunları güncelleme işlevine sahip meşru lisans atlama araçları olarak tanıtırken, gizli bir kötü amaçlı yükü gizliyorlar.
Korsan yazılımın bir bileşeni olan HPDxLIB derlemesi, güvenlik yazılımı tarafından potansiyel olarak RedLine hırsızını içerdiği yönünde işaretlendi.
Uyarılara rağmen kullanıcılara yazılımı çalıştırmak için güvenlik önlemlerini devre dışı bırakmaları talimatı veriliyor ve bu da kötü amaçlı yazılım bulaşma riskini artırıyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Meşru bir kitapmış gibi görünen kötü amaçlı bir dinamik kitaplık dağıtarak, kullanıcıları orijinal olarak yüklenen dosyayı değiştirmeleri konusunda kandırırlar.
Yamalı yazılım başlatıldığında, kötü amaçlı kitaplık meşru süreç tarafından yüklenir ve bu da yazılımdaki güvenlik açıklarından ziyade kullanıcının güvenini suiistimal eden bir hırsızın yürütülmesine yol açar.
Kötü amaçlı techsys.dll dosyası, oldukça karmaşık bir kaynak olan loader.hpdx.dll (veya onun sıkıştırılmış sürümü olan loader.hz) içerir ve statik olarak analiz edilmesi zor olmasına rağmen potansiyel kötü amaçlı etkinliği gösteren büyük bir şüpheli veri bloğu içerir.
Bayt dizisi, muhtemelen sihirli bayt alanları, XOR anahtarı, büyük-endian ve küçük-endian boyut göstergeleri, şifrelenmiş veriler ve bitiş baytları içeren, “Şifreli Kapsayıcı” olarak yapılandırılmış RedLine hırsızını içeren şifrelenmiş bir veri yüküdür. kütüphanenin kodundaki bir değişkeni başlatmak için kullanılır.
Veriler başlangıçta sabit bir anahtarla XOR ile şifrelenir, ardından Base85 ile şifrelenir ve elde edilen veriler ayrıca CBC modunda AES-256 kullanılarak şifrelenir ve tam şifre çözme için ek anahtar bilgileri gerekir.
Gizlenmiş kitaplık, AES-256-CBC şifreleme parametrelerini, yani şifresi çözüldüğünde “Tk” olarak ortaya çıkan anahtar ve başlatma vektörünü (IV) gizlemek için sabit anahtarlarla XOR şifrelemesini kullanır.[HGC-uBbtW8@F>_dyneANrJ
According to Secure List, a library decodes a Base85 string, decrypts it with AES-256-CBC using SHA-512-derived keys and IVs, decompresses the resulting data with Deflate, and finally loads the unpacked RedLine stealer using Assembly.Load().
The RedLine malware-as-a-service platform, utilizing a shared command-and-control server (213.21.220[.]222:8080), çeşitli tehdit aktörlerinin potansiyel olarak abonelik tabanlı erişim yoluyla hırsızı dağıtmasına ve para kazanmasına olanak tanır.
Siber suçlular, yazılım lisans kontrollerini atlatmak ve hassas iş verilerine yetkisiz erişim elde etmek için gelişmiş, ücretli bir hırsızlık uygulaması olan RedLine ile Rusça konuşan girişimcileri hedef alıyor.
Korsan yazılımların ve etkinleştiricilerin kullanımı, kuruluşları veri hırsızlığına ve siber saldırılara maruz bırakır; bu da potansiyel olarak veri ihlallerine, gasp girişimlerine ve itibar kaybına yol açabilir.
İşletmeler, hassas bilgilerinin korunması ve operasyonlarının güvenliğinin sağlanması konusunda lisanslı yazılımlara öncelik vermelidir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses