Redline Stealer, bilgi çalan güçlü bir kötü amaçlı yazılımdır ve bilgisayar korsanları, kurbanın hassas verilerine yetkisiz erişim sağlamak için genellikle bu gizli hırsızdan yararlanır.
Tehdit aktörleri, Redline Stealer’ı kullanarak pek çok hassas ve değerli veriyi çalabiliyor.
Tehdit aktörleri, çalınan verileri daha sonra mali kazanç veya diğer kötü amaçlarla kullanabilir.
McAfee’deki siber güvenlik araştırmacıları yakın zamanda, gizlilik için Lua Bytecode’dan yararlanan yeni bir Redline hırsızı çeşidi keşfetti.
Redline Hırsızı Varyantı
McAfee’den alınan telemetri verileri, bu kötü amaçlı yazılımın Kuzey ve Güney Amerika, Avrupa, Asya ve Avustralya gibi farklı kıtalarda oldukça yaygın olduğunu gösteriyor.
McAfee Web Danışmanı, Microsoft’un resmi GitHub’unun vcpkg deposunda barındırılan “Cheat.Lab.2.7.2.zip” adlı kötü amaçlı yazılım dosyasını engelledi.
Free Live Webinar.for DIFR/SOC Teams: En İyi 3 KOBİ Siber Saldırı Vektörünün Güvenliğini Sağlama - Buradan Kayıt Olun
Zip dosyasında, değiştirilmiş Lua ikili dosyalarına sahip bir MSI yükleyicisi ve derleme ve yürütme için olduğu iddia edilen bir metin dosyası bulunur.
Kötü amaçlı karakter dizelerini gizleyen ve wscript veya PowerShell gibi kolayca tanınabilen komut dosyalarından kaçınan bu yöntem, gizlilik ve kaçınma yeteneklerini geliştirerek tespit edilmesini zorlaştırır.
Zamanlanmış görevlerin ve geri dönüş mekanizmalarının varlığı, kötü amaçlı yazılımların kalıcı olmasını sağlar. Dolayısıyla, oluşturulan süreç ağacının da gösterdiği gibi, system32 klasöründe bulunan LolBin’lerden yürütme sırasında yararlanılmaktadır.
.webp)
Sistem ErrorHandler.cmd komut dosyasını başlattığında, bir IP API kontrol programı olan NzUw.exe’yi çağıran cmd.exe başlatılarak çağrılır.
inetCache’deki disk, JSON nesnelerini C2 ile iletişim kurmak için api-api.com’dan gönderilen paketler olarak saklar.
Örneğin, bir HTTP değişim sunucusu, ekranın ekran görüntülerinin alınması gibi işlemler için görev kimliği OTMsOTY’leri gönderir.
Tehdit aktörünün base64’te kodlanmış sunucusuna aktarılan bir dosya olan Screen.bmp’nin, çeşitli antivirüs motorları tarafından Redline ailesi olarak kötü amaçlı olarak işaretlendiği tespit edildi.
Bu Lua betiğini derlediğinizde, içindeki bazı şifrelenmiş değerleri, bunların şifre çözme döngülerini ve “Kurcalama Tespit Edildi” gibi şifresi çözülmüş dizeleri de göreceksiniz.
Başlangıçta luajit bayt kodu yüklenmeden önce Lua örneklerini izole eden yeni bir durum oluşturulur.
Ayrıca debug, io, math ve FFI kitaplıkları yüklenir ve bayt kodları luaL_loadfile kullanılarak okunur, bu da onu rastgele farklı uzaklıklara taşır.
Betiğin başlangıcında değişkenleri tanımlar, muteksleri oluşturan FFI aracılığıyla Windows API işlevlerine erişir, çalışma zamanında dll’leri yükler ve ardından C2 sunucusuna iletilmek üzere sistem bilgilerini alır.
IoC’ler
- Cheat.Lab.2.7.2.zip: 5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610
- Cheat.Lab.2.7.2.zip: https[:]//github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
- lua51.dll: 873aa2e88dbc2efa089e6efd1c8a5370e04c9f5749d7631f2912bcb640439997
- benioku.txt: 751f97824cd211ae710655e60a26885cd79974f0f0a5e4e582e3b635492b4cad
- derleyici.exe: dfbf23697cfd9d35f263af7a455351480920a95bfc642f3254ee8452ce20655a
- Redline C2: 213[.]248[.]43[.]58
- Truva atı haline getirilmiş Git Repo: hxxps://github.com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.