All’inizio di marzo 2020, i ricercatori di Proofpoint hanno osservato una campagna di posta elettronica che tentava di fornire un malware precedentemente sconosciuto che l’autore chiama RedLine Stealer.
Le e-mail in questa campagna di furto di password hanno abusato del marchio Folding@home, che è un progetto di calcolo distribuito per la ricerca sulle malattie, chiedendo anche al destinatario di aiutare a trovare una cura per il coronavirus. Questa campagna si rivolgeva principalmente alle industrie sanitarie e manifatturiere negli Stati Uniti.
Il virus RedLine password stealer è un nuovo malware disponibile per la vendita sui forum clandestini russi con diverse opzioni di prezzo: versione lite da $ 150; $ 200 versione pro; Opzione di abbonamento $ 100 / mese. Ruba informazioni dai browser come login, completamento automatico, password e carte di credito. Raccoglie inoltre informazioni sull’utente e sul suo sistema come nome utente, posizione, configurazione hardware e software di sicurezza installato. Un recente aggiornamento di RedLine Stealer ha anche aggiunto la possibilità di rubare cold wallet di criptovaluta.
RedLine Stealer è scritto in C#. Anche se non particolarmente sofisticati, siamo rimasti sorpresi dall’elevata qualità e leggibilità del codice. In particolare con il suo uso corretto di delegati, ereditarietà delle classi e modelli di dati insieme all’utilizzo di SOAP per il suo canale C&C. Ciò indica un livello di esperienza da moderato ad alto con il linguaggio di programmazione .NET da parte dello sviluppatore. Anche RedLine Stealer sembra essere in fase di sviluppo attivo, come dimostrato dalla recente introduzione di nuove funzionalità.
Sono state inviate e-mail da “Shannon Wilson <shannon@litegait[.]com>” con l’oggetto “Per favore aiutaci con la lotta al corona-virus”. Queste e-mail pretendevano di provenire da “Mobility Research Inc” e hanno implorato i destinatari di aiutare a trovare una cura per il coronavirus partecipando al loro programma “Folding@Thome”.
I partecipanti al progetto legittimo Folding@home scaricano l’applicazione ufficiale dal loro sito web. In questa campagna e-mail dannosa, i destinatari sono incoraggiati a scaricare l’applicazione tramite un collegamento nell’e-mail.
Dopo aver fatto clic sul collegamento, l’utente viene reindirizzato all’eseguibile malware ospitato su BitBucket. La figura 1 mostra un esempio dell’e-mail dannosa.