«Лаборатория Касперского» сообщает о вредоносной кампании, направленной на российские организации. Атакующие распространяют стилер RedLine на бухгалтерских форумах, маскируя его под пиратский активатор HPDxLIB, предназначенный для популярного софта.

По данным исследователей, эта вредоносная кампания началась еще в январе 2024 года и представляет угрозу до сих пор.

Злоумышленники публикуют объявления на профильных форумах о ведении бизнеса и бухгалтерском учете, предлагая скачать обновленную версию активатора HPDxLIB. В своих сообщениях они подробно описывают функциональность по обходу проверки лицензии, делая акцент на обновлениях.

Также в инструкциях содержится просьба отключать защиту и добавлять в исключения вредоносные файлы, ведь без этого пиратские активаторы не работают.

Вредоносная версия активатора отличается от «чистой» использованием .NET при разработке, а также наличием нового самоподписанного сертификата. «Чистые» версии активатора написаны на C++ и подписаны валидным сертификатом.

При выполнении описанных хакерам инструкций, начинается загрузка стилера RedLine, который тщательно скрыт внутри активатора. Эксперты подчеркивают, что для атак злоумышленники не используют никакие уязвимости, им нужно лишь убедить жертву воспользоваться активатором и выполнить инструкции.

Так, в инструкции к вредоносному активатору пользователя просят подменить легитимную библиотеку techsys.dll на версию из активатора. Этот механизм используют и «чистые» варианты HPDxLIB. Однако в данном случае при запуске пропатченной версии корпоративного ПО легитимный процесс 1cv8.exe загрузит вредоносную библиотеку, которая, в свою очередь, и запустит стилер.

Эксперты напоминают, что RedLine распространяется по схеме Malware-as-a-Service (MaaS, малварь-как-услуга). Стилер специализируется на хищении конфиденциальной информации (например, данных браузеров, мессенджеров или подробных сведений о зараженной системе и ее пользователях), а затем передает собранные данные на указанный командный сервер.

В качестве управляющего сервера для вредоносных версий HPDxLIB выступает адрес 213.21.220[.]222:8080. Причем к нему обращались несколько версий RedLine, жертвы которых никак не связаны друг с другом. Исследователи полагают, что сервер могут арендовать разные хак-групп, распространяющие RedLine, то есть используемая атакующими версия могла быть приобретена по подписке.

Теги: Новости, Infostealer, Malware