В McAfee Labs обнаружен новый вредоносный троян Redline Stealer, который использует Lua для своих действий. Этот штамм распространен в Северной и Южной Америке, Европе, Азии и Австралии. При заражении файл вредоносной программы размещается на GitHub в репозитории Microsoft.
Вирусные файлы представляют собой установочную программу MSI, содержащую модифицированные двоичные файлы из проекта Lua и байт-код Lua. Во время установки троян предлагает пользователю распространить программу, установив ее на компьютер друга. При выполнении происходит копирование файлов и создание запланированных задач для выполнения вредоносных действий. Агент угроз также отправляет информацию о IP-адресе через ip-API и устанавливает связь с сервером C2 по протоколу HTTP. Злоумышленник получает задания для выполняемых действий, например, получение скриншотов, которые отправляются на сервер.
Indicators of Compromise
IPv4
- 213.248.43.58
URLs
- https://github.com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
- https://github.com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
SHA256
- 5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610
- 751f97824cd211ae710655e60a26885cd79974f0f0a5e4e582e3b635492b4cad
- 873aa2e88dbc2efa089e6efd1c8a5370e04c9f5749d7631f2912bcb640439997
- dfbf23697cfd9d35f263af7a455351480920a95bfc642f3254ee8452ce20655a