RedLine恶意软件利用盗版应用窃取企业信息

摘要:据Cyber Security News消息,卡巴斯基发现,一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序,目标是一些俄国企业。

据Cyber Security News消息,卡巴斯基发现,一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序,目标是一些俄国企业。

报告表明,该攻击活动开始于 2024 年 1 月,通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具,该工具主要用来激活一些商业软件。

根据发现的激活器样本,RedLine被一种非常不寻常的方式隐藏,激活器库被 .NET Reactor 混淆,恶意代码被压缩和加密成多个层。研究人员注意到,恶意版本的激活工具在 .NET 中构建,并使用了自签名证书,而合法的 C++ 版本则使用了有效证书。

攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接,并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样,在安装时会要求用户关闭相应的安全保护,以此逃避安全检测,否则软件将无法正常运行。

另外,用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件,并在执行已打补丁的软件时,通过合法的 1cv8.exe 进程加载恶意库,从而运行窃取程序。这种方法利用的是用户的信任,而不是企业软件的漏洞。

RedLine 窃取程序以恶意软件即服务(MaaS)的形式传播,其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据,包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。

该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。因此,为了安全起见,企业应避免使用盗版软件。

在这里,拓宽网安边界
甲方安全建设干货;乙方最新技术理念;全球最新的网络安全资讯;群内不定期开启各种抽奖活动;FreeBuf盲盒、大象公仔......https://cybersecuritynews.com/redline-malware-weaponizing-pirated-corporate-softwares-to-steal-logins/

来源:FreeBuf

相关推荐