[ad_1]
Os analistas de ameaças descobriram uma nova campanha usando o RIG Exploit Kit para entregar o malware ladrão RedLine.
Os kits de exploração (EKs) caíram drasticamente em popularidade, pois visavam vulnerabilidades em navegadores da Web introduzidos por software de plug-in, como o agora extinto Flash Player e o Microsoft Sillverlight.
À medida que os navegadores da Web se tornaram mais seguros e introduziram atualizações automáticas para todos os seus componentes ou os substituíram por padrões modernos, o uso do EK para distribuir malware diminuiu a ponto de ser um encontro raro nos dias de hoje.
No entanto, como ainda existem usuários executando navegadores sem as atualizações de segurança mais recentes, o Internet Explorer em particular, os EKs não ficaram completamente sem alvos.
A campanha recentemente investigada baseada no RIG EK explora o CVE-2021-26411, uma vulnerabilidade no Internet Explorer que causa corrupção de memória ao visualizar um site especialmente criado.
Os invasores usam o exploit para comprometer a máquina e implantar o RedLine, um malware de roubo de informações barato, mas poderoso, que está circulando amplamente em fóruns de língua russa.
A partir daí, os adversários extraem detalhes confidenciais do usuário, como chaves de carteira de criptomoedas, detalhes de cartão de crédito e credenciais de contas armazenadas em navegadores da web.
Novos truques do RIG Exploit
Como o próprio nome indica, o RIG EK inclui um conjunto de exploits para automatizar a intrusão de rede executando o shellcode necessário no destino.
Ele tem sido amplamente utilizado em várias campanhas desde 2016. Sua popularidade atingiu o pico em 2018 e 2019 para implantar vários malwares, incluindo ransomware como Nemty, Sodinokibi/REvil, Buran e Eris.
Já foi preferido em relação a outros kits devido à combinação de diferentes tecnologias, como JavaScript, VBScript, DoSWF e outras, usadas para empacotamento, ofuscação e execução.
Hoje, o RIG Exploit perdeu seu status de prestígio, mas alguns agentes de ameaças ainda o consideram útil para entregar malware, como foi o caso no ano passado, quando lançou o malware WastedLoader.
A campanha recente foi descoberta por pesquisadores da Bitdefender, que descobriram que o RIG EK incorpora o CVE-2021-26411 para iniciar um processo de infecção que contrabandeia uma cópia do ladrão RedLine para o alvo em uma forma empacotada.
A exploração cria um novo processo de linha de comando que coloca um arquivo JavaScript em um diretório temporário, que por sua vez baixa uma segunda carga criptografada em RC4 e a inicia.
A descompactação do ladrão RedLine é um processo de seis estágios que consiste em descompactação, recuperação de chave, descriptografia em tempo de execução e ações de montagem. As DLLs resultantes nunca tocam na memória do disco para evitar a detecção de AV.
RedLine descompactado
Depois que o RedLine toma forma na máquina comprometida como um executável .NET ofuscado, ele tenta se conectar ao servidor C2, nesta campanha 185.215.113.121 pela porta 15386.
A comunicação usa um canal não HTTP criptografado, enquanto a primeira solicitação também envolve autorização. A segunda solicitação é respondida por uma lista de configurações que determinam quais ações serão executadas no host.
Depois disso, o RedLine começa a coletar dados de acordo com essas configurações, visando um amplo conjunto de softwares, como navegadores da web, VPNs, clientes FTP, Discord, Telegram, Steam e carteiras/complementos de criptomoedas.
Além disso, o RedLine envia um pacote de informações do sistema para o C2, incluindo o nome de usuário e número de série do Windows, uma lista de softwares instalados, uma lista de processos em execução, o fuso horário, o idioma ativo e uma captura de tela.
Distribuição diversificada
A variedade na distribuição do RedLine vem do fato de estar nas mãos de tantos atores de ameaças, cada um com sua própria abordagem.
O Redline foi distribuído anteriormente por meio de truques falsos do Valorant no YouTube, aplicativos falsos de contador de estatísticas Omicron, atualizações falsas do Windows 11 e plug-ins maliciosos do Microsoft Excel XLL.
Embora esses métodos exijam ação do usuário e atinjam um público mais amplo, a adição do RIG Exploit Kit automatiza o processo de infecção, mas limita o conjunto de vítimas àqueles que ainda executam uma versão vulnerável do Internet Explorer.
[ad_2]
