RecordBreaker - это новый Infostealer, появившийся в 2022 году и известный как новая версия Raccoon Stealer. Подобно другим Infostealer, таким как CryptBot, RedLine и Vidar, это крупный тип вредоносного ПО, который обычно маскируется под кряк или установщик программного обеспечения. Центр экстренного реагирования AhnLab Security (ASEC) подтвердил распространение RecordBreaker через аккаунт YouTube, который, как предполагается, был недавно взломан.
RecordBreaker Stealer
Поисковые системы являются одним из основных векторов атак, используемых для распространения вредоносного ПО.
Пользователи, которые ищут в поисковых системах кряки, серийные кейгены и установщики коммерческого программного обеспечения, попадают на поддельные страницы распространения, где их обманом заставляют загрузить вредоносное ПО.
В последнее время было много случаев распространения вредоносного ПО не только через поисковые системы, но и через YouTube. Например, один из участников угроз, распространявший в прошлом RedLine Infostealer, загрузил обучающее видео о том, как установить кряк-программу, вместе со ссылкой, замаскированной под страницу загрузки для установки кряка. Известен и другой случай, когда BlackGuard Infostealer распространялся как хак для игры Valorant.
В ходе мониторинга штаммов вредоносных программ, распространяемых через YouTube, ASEC подтвердила распространение RecordBreaker Infostealer через аккаунт, который, как предполагается, был взломан. Нижеприведенное сообщение было загружено субъектом угрозы и содержит ссылку на скачивание кряка Adobe Photoshop, а также ссылку на учебник как в описании видео, так и в разделе комментариев.
Распространение вредоносного ПО через YouTube является распространенным методом, и большинство угроз создают новые аккаунты для загрузки ссылок на вредоносное ПО. Однако у этого аккаунта в настоящее время более 120 000 подписчиков. Кроме того, учитывая, что первоначальный владелец регулярно загружал видео всего за несколько дней до того, как были загружены ролики с распространением вредоносного ПО, можно предположить, что угроза похитила аккаунт YouTuber, прежде чем использовать его для загрузки вредоносного ПО.
Нажатие на ссылки в видеороликах YouTube ведет на страницу загрузки MediaFire, где пользователи могут загрузить сжатый файл с вредоносным ПО внутри. Как и в предыдущих случаях, загруженный сжатый файл зашифрован паролем.
Как и в предыдущих случаях, при распаковке сжатого файла создается исполняемый файл размером более 700 МБ под названием "Launcher_S0FT-2O23.exe". Угрожающий агент намеренно значительно увеличил размер этого файла, чтобы он казался больше. Предполагается, что это делается для того, чтобы избежать сбора и обнаружения продуктами безопасности.
"Launcher_S0FT-2O23.exe" - это вредоносная программа RecordBreaker Infostealer, которая после выполнения получает доступ к C&C-серверу для загрузки DLL-файлов, необходимых для конфигурации и кражи информации.
При выполнении RecordBreaker получает "machineId" и отправляет на C&C-сервер значение "configId", жестко закодированное во вредоносной программе. После этого C&C-сервер отправляет обратно следующие данные конфигурации. Полученные данные включают URL-адреса, которые будут использоваться для загрузки определенных DLL-файлов, необходимых для кражи информации, а также путь к файлам, которые будут украдены.
RecordBreaker собирает и крадет различную информацию, сохраненную в системе, такую как основная системная информация, список установленных программ, скриншоты, учетные данные, сохраненные в браузере, и т.д., а также способен загружать и устанавливать дополнительные полезные нагрузки в конце. Приведенный ниже журнал Fiddler показывает, как загружаются и выполняются две полезные нагрузки, которые были загружены на GitHub.
Среди загруженных файлов "GUI_Modernista.exe" - программа, которая предоставляет возможность загрузки различных кряков. Это заставляет пользователей поверить, что они загрузили обычную программу для взлома, что затрудняет обнаружение установки вредоносного ПО.
После сбора информации с зараженной системы агент угрозы устанавливает CoinMiner с помощью файла вредоносного ПО под названием "vdcs.exe" и использует ресурсы системы для добычи криптовалюты.
Недавно был подтвержден случай распространения RecordBreaker через YouTube. RecordBreaker - это Infostealer, который собирает и крадет различную пользовательскую информацию, сохраненную в зараженных системах. Он также может загружать и устанавливать дополнительные вредоносные программы.
RecordBreaker распространялся через аккаунт, имеющий более 100 000 подписчиков. Судя по активности аккаунта до распространения, предполагается, что он был взломан субъектом угрозы. Угроза использовала RecordBreaker для сбора информации с зараженных систем и установила CoinMiner для майнинга криптовалюты на зараженных системах.
Indicators of Compromise
URLs
- http://212.113.119.153/
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll
- http://212.113.119.153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll
- https://github.com/jesus061031r/mooliik/releases/download/mooliik/GUI_MODERNISTA.exe
- https://github.com/jesus061031r/mooliik/releases/download/mooliik/vdsds.exe
- https://www.mediafire.com/file/0u0tldiluood47v/2O23-F1LES-S0ft.rar
MD5
- 116857ca1574a5a36da3bb0ddff32eac
- 1cc87e637e55a2e6a88c745855423045
- 803a1f3e984a9eaa56ac74a203096959
