Eine neue Kampagne, die ein Exploit-Kit ausnutzt, wurde beobachtet, das eine von Microsoft im letzten Jahr gepatchte Schwachstelle im Internet Explorer ausnutzt, um den RedLine Stealer Trojaner einzuschleusen.
„Wenn er ausgeführt wird, führt RedLine Stealer einen Abgleich mit dem Zielsystem durch (einschließlich Benutzername, Hardware, installierte Browser, Antivirensoftware) und exfiltriert dann Daten (einschließlich Passwörter, gespeicherte Kreditkarten, Krypto-Wallets, VPN-Logins) zu einem entfernten Command-and-Control-Server“, so Bitdefender in einem neuen Bericht, der The Hacker News vorliegt.
Die meisten Infektionen sind in Brasilien und Deutschland zu finden, gefolgt von den USA, Ägypten, Kanada, China und Polen, um nur einige zu nennen.
Exploit-Kits oder Exploit-Packs sind umfassende Tools, die eine Sammlung von Exploits enthalten, die darauf abzielen, Schwachstellen in häufig verwendeter Software auszunutzen, indem sie infizierte Systeme auf verschiedene Arten von Schwachstellen untersuchen und zusätzliche Malware einschleusen.
Die Hauptinfektionsmethode, mit der Angreifer Exploit-Kits, in diesem Fall das Rig Exploit Kit, verbreiten, ist die Verbreitung über kompromittierte Websites, die bei einem Besuch den Exploit-Code abwerfen, um schließlich die Nutzlast des RedLine Stealers zu senden und Folgeangriffe durchzuführen.
Bei der Schwachstelle handelt es sich um CVE-2021-26411 (CVSS-Score: 8.8), eine Speicherkorruptionsschwachstelle im Internet Explorer, die bereits von mit Nordkorea verbundenen Bedrohungsakteuren als Waffe eingesetzt wurde. Sie wurde von Microsoft im Rahmen der Patch Tuesday Updates für März 2021 behoben.
„Das von RIG EK gelieferte RedLine Stealer-Beispiel ist in mehrere Verschlüsselungsebenen verpackt, um eine Entdeckung zu vermeiden“, so das rumänische Cybersecurity-Unternehmen, wobei das Entpacken der Malware in bis zu sechs Stufen erfolgt.
RedLine Stealer, eine Malware zum Stehlen von Informationen, die in Untergrundforen verkauft wird, verfügt über Funktionen zum Exfiltrieren von Passwörtern, Cookies und Kreditkartendaten, die in Browsern gespeichert sind, sowie von Krypto-Wallets, Chatprotokollen, VPN-Anmeldedaten und Text aus Dateien, die von einem entfernten Server empfangen werden.
Dies ist bei weitem nicht die einzige Kampagne, bei der der RedLine Stealer verbreitet wird. Im Februar 2022 berichtete HP über einen Social-Engineering-Angriff, bei dem gefälschte Windows-11-Upgrade-Installationsprogramme verwendet wurden, um Windows-10-Nutzer/innen zum Herunterladen und Ausführen des Schadprogramms zu verleiten.