Er is een nieuwe informatiedief gevonden die Lua-bytecode gebruikt voor extra stealth en verfijning, zo blijkt uit bevindingen van McAfee Labs.
Het cyberbeveiligingsbedrijf heeft geoordeeld dat het een variant is van een bekende malware genaamd RedLine Stealer, vanwege het feit dat het IP-adres van de command-and-control (C2) server eerder is geïdentificeerd als geassocieerd met de malware.
RedLine Stealer, voor het eerst gedocumenteerd in maart 2020, wordt doorgaans geleverd via e-mail en malvertisingcampagnes, hetzij rechtstreeks, hetzij via exploitkits en loader-malware zoals dotRunpeX en HijackLoader.
De kant-en-klare malware kan informatie verzamelen uit cryptocurrency-wallets, VPN-software en webbrowsers, zoals opgeslagen inloggegevens, gegevens voor automatisch aanvullen, creditcardgegevens en geolocaties op basis van de IP-adressen van de slachtoffers.
Door de jaren heen is RedLine Stealer door verschillende bedreigingsactoren in hun aanvalsketens opgenomen, waardoor het een wijdverbreide variant is geworden in Noord-Amerika, Zuid-Amerika, Europa, Azië en Australië.
De door McAfee geïdentificeerde infectiesequentie maakt misbruik van GitHub, waarbij gebruik wordt gemaakt van twee officiële opslagplaatsen van Microsoft voor de implementatie van de C++ Standard Library (STL) en vcpkg om de met malware beladen lading te hosten in de vorm van ZIP-archieven.
Het is momenteel niet bekend hoe de bestanden naar de repository zijn geüpload, maar de techniek is een teken dat bedreigingsactoren het vertrouwen van betrouwbare repository's bewapenen om malware te verspreiden. De ZIP-bestanden kunnen niet langer worden gedownload vanuit de Microsoft-opslagplaatsen.
Het ZIP-archief (“Cheat.Lab.2.7.2.zip” en “Cheater.Pro.1.6.0.zip”) doet zich voor als een game-cheat, wat aangeeft dat gamers waarschijnlijk het doelwit van de campagne zijn. Het wordt geleverd met een MSI-installatieprogramma dat is ontworpen om de kwaadaardige Lua-bytecode uit te voeren.
“Deze aanpak biedt het voordeel dat kwaadaardige prikkels worden verdoezeld en het gebruik van gemakkelijk herkenbare scripts zoals wscript, JScript of PowerShell-script wordt vermeden, waardoor de stealth- en ontwijkingsmogelijkheden voor de bedreigingsacteur worden verbeterd”, aldus onderzoekers Mohansundaram M. en Neil Tyagi.
In een poging de malware door te geven aan andere systemen, geeft het MSI-installatieprogramma een bericht weer waarin het slachtoffer wordt aangespoord het programma met zijn vrienden te delen om zo de ontgrendelde versie van de software te verkrijgen.
Het uitvoerbare programma “compiler.exe” in het installatieprogramma zorgt, bij het uitvoeren van de Lua-bytecode die is ingebed in het bestand “readme.txt” in het ZIP-archief, voor persistentie op de host met behulp van een geplande taak en plaatst een CMD-bestand, dat, in beurt, voert “compiler.exe” uit onder een andere naam “NzUw.exe.”
In de laatste fase initieert “NzUw.exe” de communicatie met een command-and-control (C2) server via HTTP, het bovengenoemde IP-adres toegeschreven aan RedLine.
De malware functioneert meer als een achterdeur, voert taken uit die van de C2-server zijn opgehaald (bijvoorbeeld het maken van schermafbeeldingen) en exfiltreert de resultaten daarheen.
De exacte methode waarmee de links naar de ZIP-archieven worden verspreid, is momenteel onbekend. Eerder deze maand onthulde Checkmarx hoe bedreigingsactoren misbruik maken van de zoekfunctionaliteit van GitHub om nietsvermoedende gebruikers te misleiden om met malware beladen opslagplaatsen te downloaden.
De ontwikkeling komt op het moment dat Recorded Future een “grootschalige Russischtalige cybercriminaliteitsoperatie” heeft beschreven die de gaminggemeenschap uitkiest en valse Web3-gaminglokmiddelen gebruikt om malware te leveren die in staat is gevoelige informatie van macOS- en Windows-gebruikers te stelen, een techniek die trap phishing wordt genoemd.
“De campagne omvat het creëren van imitatie-Web3-gamingprojecten met kleine wijzigingen in de naam en het merk om legitiem te lijken, samen met valse sociale-media-accounts om hun authenticiteit te versterken”, aldus Insikt Group.
“De belangrijkste webpagina's van deze projecten bieden downloads aan die, eenmaal geïnstalleerd, apparaten infecteren met verschillende soorten 'infostealer'-malware zoals Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys of RisePro, afhankelijk van het besturingssysteem.”
Het volgt ook op een golf van malwarecampagnes die zich richten op bedrijfsomgevingen met laders zoals PikaBot en een nieuwe soort genaamd NewBot Loader.
“Aanvallers demonstreerden in elke campagne een breed scala aan technieken en infectievectoren, met als doel de PikaBot-lading af te leveren”, aldus McAfee.
Dit omvat een phishing-aanval die misbruik maakt van het kapen van e-mailgesprekken en een Microsoft Outlook-fout genaamd MonikerLink (CVE-2024-21413) om slachtoffers te verleiden de malware van een SMB-share te downloaden.