Un nouveau malware de vol d’informations lié à Redline se présente comme une triche de jeu appelée « Cheat Lab », promettant aux téléchargeurs une copie gratuite s’ils convainquent leurs amis de l’installer également.

Redline est un puissant logiciel malveillant capable de voler des informations sensibles à partir d’ordinateurs infectés, notamment des mots de passe, des cookies, des informations de remplissage automatique et des informations de portefeuille de crypto-monnaie.

Le malware est très populaire parmi les cybercriminels et se propage dans le monde entier en utilisant divers canaux de distribution.

Carte thermique des victimes de la ligne rouge

Les chercheurs sur les menaces de McAfee ont signalé que le nouveau voleur d’informations exploite le bytecode Lua pour échapper à la détection, permettant au malware de s’injecter dans des processus légitimes pour la furtivité et également de tirer parti des performances de compilation juste à temps (JIT).

Les chercheurs associent cette variante à Redline car elle utilise un serveur de commande et de contrôle précédemment associé au logiciel malveillant.

Cependant, selon les tests de Breahtrace, le logiciel malveillant ne présente pas de comportement généralement associé à Redline, tel que le vol d’informations sur le navigateur, l’enregistrement de mots de passe et de cookies.

Veut que vous infectiez aussi vos amis!
Les charges utiles Redline malveillantes se font passer pour des démos d’outils de triche appelés « Cheat Lab » et « Cheater Pro » via des URL liées au référentiel GitHub « vcpkg » de Microsoft.

Le logiciel malveillant est distribué sous forme de fichiers ZIP contenant un programme d’installation MSI qui décompresse deux fichiers, compilateur.exe et lua51.dll, une fois lancé. Il supprime également un fichier lisez-moi.fichier txt contenant le bytecode Lua malveillant.

Le faux installateur du Laboratoire de triche

Cette campagne utilise un leurre intéressant pour distribuer davantage le malware en disant aux victimes qu’elles peuvent obtenir une copie gratuite et entièrement sous licence du programme de triche si elles convainquent leurs amis de l’installer également.

Le message contient également une clé d’activation pour plus de légitimité.

« Pour déverrouiller la version complète, partagez simplement ce programme avec votre ami. Une fois que vous faites cela, le programme se déverrouillera automatiquement », lit l’invite d’installation ci-dessous.

Invite à propager le malware

Pour échapper à la détection, la charge utile du malware n’est pas distribuée sous forme d’exécutable mais plutôt sous forme de bytecode compilé.

Une fois installé, le compilateur.le programme exe compile le bytecode Lua stocké dans le fichier lisez-moi.fichier txt et l’exécute. Le même exécutable configure également la persistance en créant des tâches planifiées qui s’exécutent au démarrage du système.

McAfee signale que le logiciel malveillant utilise un mécanisme de secours pour la persistance, copiant les trois fichiers sur un long chemin aléatoire sous les données du programme.

Diagramme d’infection

Une fois actif sur le système infecté, le logiciel malveillant communique avec un serveur C2, envoyant des captures d’écran des fenêtres actives et des informations système et attendant que les commandes s’exécutent sur l’hôte.

La méthode exacte utilisée pour l’infection initiale n’a pas été déterminée, mais les voleurs d’informations se propagent généralement via la publicité malveillante, les descriptions de vidéos YouTube, les téléchargements P2P et les sites de téléchargement de logiciels trompeurs.

Il est conseillé aux utilisateurs d’éviter les exécutables non signés et les fichiers téléchargés à partir de sites Web louches.

Cette attaque montre que même l’installation de programmes à partir d’emplacements apparemment dignes de confiance comme GitHub de Microsoft peut préparer les gens à une infection Redline.

Breahtrace a contacté Microsoft au sujet des exécutables distribués via ses URL GitHub mais n’a pas reçu de réponse au moment de la publication.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *