RedLine信息窃取活动通过盗版企业软件瞄准俄罗斯企业

“使用未授权企业软件的用户遭到攻击，攻击者在会计论坛上分发恶意激活器。”卡巴斯基发布的报告写道。“检测到的样本是众所周知的HPDxLIB激活器的版本，其中包含RedLine窃取器，以一种非常不寻常的方式隐藏：激活器库使用.NET Reactor混淆，恶意代码被压缩和加密在多个层。”

威胁行为者在关于企业所有权和会计的专门论坛上发布指向恶意激活器的链接。研究人员还观察到，运营者提供了关于禁用安全软件以运行激活器的详细说明，从而有效地逃避检测。攻击者通过将合法的techsys.dll库替换为激活器中包含的恶意库来欺骗用户。然后，在执行修补后的软件时，它通过合法的1cv8.exe进程加载恶意库，从而运行窃取器。这种方法利用的是用户的信任，而不是企业软件中的漏洞。

RedLine窃取器是一种用.NET编写的信息窃取恶意软件，自2020年初以来一直活跃。该恶意软件可以从受感染的系统中窃取敏感信息，包括凭证、cookies、浏览器历史记录、信用卡数据和加密钱包。该信息窃取器被认为是一种通过恶意软件即服务模式提供的商业恶意软件。

“这次活动背后的攻击者显然对获得使用软件自动化业务流程的俄语企业家的访问权限感兴趣。不能说通过可疑的解决方案进行攻击，这些解决方案据称可以绕过许可检查，是什么特别的事情。但他们瞄准企业而不是个人用户，这似乎相当不寻常。另一个不寻常的细节是，攻击者如何巧妙地伪装了窃取器植入物。”报告总结道。

原文始发于微信公众号（黑猫安全）：RedLine信息窃取活动通过盗版企业软件瞄准俄罗斯企业