Chiến Dịch RedLine: Mối Đe Dọa Mới Cho Doanh Nghiệp Nga
Từ tháng 1 năm 2024, một chiến dịch tấn công bằng phần mềm đánh cắp thông tin RedLine đang nhắm vào các doanh nghiệp Nga sử dụng phần mềm không có bản quyền. Phần mềm lậu này được phân phối qua các diễn đàn trực tuyến của Nga, nơi kẻ tấn công ngụy trang phần mềm độc hại như một công cụ để vượt qua việc cấp phép cho phần mềm tự động hóa doanh nghiệp.
Phương Thức Tấn Công
- Phân phối qua diễn đàn: Kẻ tấn công nhắm vào người dùng phần mềm tự động hóa quy trình kinh doanh bằng cách phân phối phiên bản độc hại của trình kích hoạt HPDxLIB. Khác với phiên bản hợp pháp viết bằng C++ với chứng chỉ hợp lệ, phiên bản độc hại được xây dựng bằng .NET và sử dụng chứng chỉ tự ký.
- Ngụy trang tinh vi: Các mẫu phần mềm độc hại được phát hiện là các phiên bản của trình kích hoạt HPDxLIB nổi tiếng, chứa RedLine stealer, được ẩn giấu một cách rất bất thường. Thư viện kích hoạt bị làm rối bằng .NET Reactor, và mã độc hại được nén và mã hóa qua nhiều lớp.
- Hướng dẫn chi tiết: Kẻ tấn công cung cấp hướng dẫn chi tiết về cách vô hiệu hóa phần mềm bảo mật để chạy trình kích hoạt, giúp tránh bị phát hiện.
Cách Thức Hoạt Động
Kẻ tấn công lừa người dùng thay thế thư viện techsys.dll hợp pháp bằng một thư viện độc hại được bao gồm trong trình kích hoạt. Khi phần mềm đã được vá được thực thi, nó tải thư viện độc hại thông qua quy trình 1cv8.exe hợp pháp, từ đó chạy phần mềm đánh cắp thông tin. Phương pháp này khai thác lòng tin của người dùng thay vì các lỗ hổng trong phần mềm doanh nghiệp.
Mục Tiêu
RedLine stealer là một phần mềm độc hại đánh cắp thông tin được viết bằng .NET, đã hoạt động ít nhất từ đầu năm 2020. Phần mềm này có thể đánh cắp thông tin nhạy cảm từ các hệ thống bị nhiễm, bao gồm thông tin đăng nhập, cookie, lịch sử trình duyệt, dữ liệu thẻ tín dụng và ví tiền điện tử. Đây là một loại phần mềm độc hại phổ biến có sẵn thông qua mô hình malware-as-a-service.
Kẻ tấn công đằng sau chiến dịch này rõ ràng quan tâm đến việc tiếp cận các doanh nhân nói tiếng Nga sử dụng phần mềm để tự động hóa quy trình kinh doanh. Điều đáng chú ý là họ nhắm vào các doanh nghiệp thay vì người dùng cá nhân, và cách thức ngụy trang phần mềm đánh cắp thông tin cũng rất tinh vi.
