Se ha descubierto una nueva variante del malware RedLine que se propaga a través de correos electrónicos utilizando una aplicación falsa de contador de estadísticas Omicron. RedLine es un malware básico que está disponible por un par de cientos de dólares.
El malware RedLine de caza
La última variante de RedLine fue detectada por los investigadores de Fortinet en forma de archivo Omicron Stats[.]exe.
- El malware recoge las credenciales guardadas en servicios VPN como OpenVPN, ProtonVPN y Opera GX.
- El malware busca en las carpetas de Telegram para encontrar imágenes e historiales de conversaciones y los envía a los servidores del atacante.
- Además, inspecciona a fondo los recursos locales de Discord para encontrar y robar registros, archivos de bases de datos y tokens de acceso.
- Las víctimas de la campaña de ataque están distribuidas en 12 países.
Capacidades añadidas
La variante ha sido actualizada con múltiples mejoras junto con la capacidad de robo de información ya existente. La nueva variante ahora roba una amplia gama de datos, como el nombre de la tarjeta gráfica, el fabricante del BIOS, el código de identificación, el número de serie, la fecha de lanzamiento, la versión y los detalles del fabricante de la unidad de disco.
Detalles adicionales
Se ha encontrado una dirección IP en Gran Bretaña que se comunica con el servidor C2 a través de Telegram.
La nueva variante utiliza 207[.]32[.]217[.]89 como servidor C2 en el puerto 14588 y es propiedad de 1gservers.
A las pocas semanas de ser lanzado, otra dirección IP (149[.]154[.]167[.]91) se comunicaba con este servidor C2.
Conclusión
Los operadores de RedLine se están aprovechando insensiblemente de la actual crisis de COVID-19. Esta variante es más capaz y roba más información que las anteriores. Se aconseja a los equipos de seguridad que desplieguen una solución antimalware fiable, cifren los datos importantes y utilicen un cortafuegos de red, por decir algo, para estar protegidos.
Fuente: https://cyware.com/news/new-redline-variant-uses-omicron-lure-to-trap-victims-65107b6c