Cyble фишинг Redline Stealer Convertio стилер вредоносное ПО Discord Steam Telegram VPN
Фишинговый сайт заражает жертв стилером, который собирает полный профиль пользователя.
Исследователи из Cyble Research and Intelligence Labs (CRIL)
обнаружили фишинговый сайт , имитирующий популярный сайт Convertio, который распространяет стилер Redline Stealer.
На поддельном сайте пользователю предлагается выбрать входной файл. После выбора файла для преобразования пользователь может выбрать расширение выходного файла. После выбора типов файлов и нажатия кнопки «Конвертировать», жертва перенаправляется на страницу загрузки.
.png)
Фишинговый (слева) и настоящий сайт (справа) Convertio
Когда пользователь нажимает на кнопку скачивания, загружается ZIP-архив. Вместо выбранного типа файла в ZIP-архив включается файл ярлыка. Он загружает 2 BAT-файла BAT с именами «2.bat» и «3.bat», а после запуска добавляет расширения «exe» и «bat». После этого загружается исполняемый файл с полезной нагрузкой в формате PDF.
.png)
Вредоносный ярлык
На основании поведения исполняемый файл вредоносного ПО был идентифицирован экспертами как RedLine Stealer. Он нацелен на веб-браузеры, криптокошельки и такие приложения, как FileZilla, Discord, Steam, Telegram и VPN (виртуальная частная сеть) — один из лучших инструментов для обеспечения вашей конфиденциальности в Интернете. VPN шифрует ваше соединение и скрывает вас во время серфинга, покупок и банковских операций в Интернете.»
data-html=»true» data-original-title=»VPN»
>VPN-клиенты.
Кроме того, он собирает информацию о зараженной системе – ОС, оборудование, запущенные процессы, антивирусные продукты, установленные программы и язык. Затем стилер эксфильтрует все данные на удаленный сервер злоумышленника.