Los kits de explotación son herramientas integrales que contienen una colección de vulnerabilidades, diseñadas para explotar dichas debilidades en el software de uso común al escanear los sistemas infectados en busca de varias vulnerabilidades e implementar malware adicional.
El principal método de infección utilizado por los atacantes para distribuir kits de explotación, en este caso Rig Exploit Kit, es a través de sitios web infectados que, cuando las víctimas los visitan, liberan código de explotación para entregar cargas útiles de malware. RedLine Stealer realiza el último ataque de seguimiento.
RedLine Stealer realiza un reconocimiento en el sistema de destino en tiempo de ejecución, tales como: nombre de usuario, tipo de hardware, tipo de navegadores instalados, el software antivirus. Luego extrae datos para enviarlos a un un servidor remoto.
En esta campaña se utilizan los exploits: CVE-2021-26411 (Puntuación CVSS: 8.8), la cual es una vulnerabilidad de corrupción de memoria que afecta a Internet Explorer y que anteriormente ha sido aprovechada por actores de amenazas vinculados a Corea del Norte. Microsoft corrigió este problema en la actualización de marzo de 2021.
Las muestras de RedLine Stealer están contenidas en múltiples capas de encriptación para evitar la detección, el malware se descomprime en hasta seis etapas. El malware RedLine Stealer se vende en foros clandestinos; la cual tiene la capacidad de filtrar cookies, contraseñas y datos de tarjetas de crédito, credenciales de inicio de sesión de VPN, registros de chat y archivos de texto basados en comandos recibidos de servidores remotos, almacenados en navegadores y billeteras de criptomonedas.
Recomendaciones contra esta ciberamenaza:
- Asegurarse que las soluciones de antivirus y EDR que contrate, tengan capacidades de detección de exploits; junto con eso, buscar indicadores de compromiso (IOC).
- Mantener actualizados los sistemas operativos y aplicaciones de terceros, dando prioridad a las actualizaciones de seguridad del dispositivo.
Para mayor información:
- https://thehackernews.com/2022/04/new-rig-exploit-kit-campaign-infecting.html
- https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign
- https://haycanal.com/noticias/17834/nueva-campana-de-malware-roba-datos-a-companias-y-ciudadanos-de-todo-el-mundo
- https://www.punto-informatico.it/malware-redline-stealer-nuova-campagna/
- https://www.itsecuritynews.info/new-rig-exploit-kit-campaign-infecting-victims-pcs-with-redline-stealer/
- https://hackarizona.org/es/nueva-campana-rig-exploit-kit-que-infecta-las-pc-de-las-victimas-con-redline-stealer/
- https://cyberdaily.securelayer7.net/redline-stealer-infecting-computers-as-part-of-new-rig-exploit-kit-campaign/