RedLine Stealer ได้รับการบันทึกข้อมูลจัดทำเป็นเอกสารครั้งแรกในเดือนมีนาคม 2020 โดยปกติมัลแวร์จะถูกส่งผ่านทางอีเมล แคมเปญมัลแวร์(malvertising campaigns) ทั้งโดยตรงหรือผ่านชุดโปรแกรมเครื่องมือที่อันตราย(exploit kits) และผ่านตัวดาวน์โหลดมัลแวร์ เช่น dotRunpeX และ HijackLoader

ในช่วงหลายปีที่ผ่านมา RedLine Stealer ได้รับความร่วมมือจากอาชญากร(threat actors) หลายคนนำมาใช้งานจนเป็นส่วนหนึ่งของห่วงโซ่การโจมตี ทำให้เป็นสายพันธุ์ที่แพร่หลายครอบคลุมอเมริกาเหนือ อเมริกาใต้ ยุโรป เอเชีย และออสเตรเลีย ฝั่งเอเชียในไทยเองก็ควรระวังเช่นกัน

บริษัทรักษาความปลอดภัยทางไซเบอร์ McAfee ได้ประเมินจากข้อมูลที่ได้รับมาก่อนหน้านี้ ทั้งที่อยู่ IP ของเซิร์ฟเวอร์และคำสั่งการควบคุม (C2) จนสามารถระบุได้ว่าเกี่ยวข้องกับมัลแวร์เป็นมัลแวร์รูปแบบหนึ่งที่เรียกว่า RedLine Stealer โดย มัลแวร์ RedLine Stealer มุ่งเป้าโจมตีผู้ใช้ GitHub โดยใช้คลังเก็บข้อมูลของ Microsoft's official ของจริงที่เชื่อถือได้ 2 แห่ง ดังนี้

• คลังเก็บข้อมูลไลบรารีมาตรฐาน C++ (STL) ของ Microsoft
  https://github.com/microsoft/STL
• vcpkg เครื่องมือจัดการแพ็กเกจสำหรับ C++
  https://github.com/microsoft/vcpkg

มัลแวร์จะแฝงตัวในรูปแบบไฟล์ ZIP ได้ถูกอัปโหลดไปยังคลังเก็บข้อมูลทั้งสองแห่งของ Microsoft ผู้โจมตีใช้กลยุทธ์นี้เพื่อหลอกล่อผู้ใช้ GitHub หลอกให้ดาวน์โหลดไฟล์ ZIP โดยไม่ทราบว่ามีมัลแวร์แฝงอยู่ เมื่อผู้ใช้ดาวน์โหลดและแตกไฟล์ ZIP มัลแวร์จะติดตั้งตัวเองบนระบบของผู้ใช้และเริ่มดำเนินการโจมตี ซึ่งขณะนี้ยังไม่ทราบได้ว่าไฟล์ถูกอัพโหลดไปยังคลังที่เก็บข้อมูลได้อย่างไร แต่เทคนิคนี้เป็นสัญญาณบ่งชี้ว่าผู้คุกคามกำลังสร้างความไว้วางใจที่เกี่ยวข้องกับแหล่งเก็บข้อมูลที่เชื่อถือได้เพื่อกระจายมัลแวร์

ไฟล์ ZIP จะมีชื่อว่า ("Cheat.Lab.2.7.2.zip" และ "Cheater.Pro.1.6.0.zip") ปลอมตัวเป็นโปรแกรมโกงเกม ซึ่งบ่งชี้ว่านักเล่นเกมน่าจะเป็นเป้าหมายของแคมเปญ มันมาพร้อมกับตัวติดตั้ง MSI ที่ออกแบบมาเพื่อเรียกใช้รหัสไบต์ Lua ที่เป็นอันตราย

การโจมตีของ Redline Stealer จะปลอมแปลงตัวมันเองเป็นโปรแกรมโกงเกมส์ เป็นช่องทางหลอกให้เหยื่อเรียกใช้รหัสไบต์ Lua ที่เป็นอันตรายเป็นแนวทางใหม่ ข้ออันตรายตรงที่มันสามารถใช้สคริปต์ที่คนทั่วไปไม่ได้รู้จักง่ายๆ อย่าง wscript, JScript หรือ PowerShell script ทำให้การโจมตีมองเห็นได้ยาก มีความชวนสับสนมากขึ้นจึงเป็นการเพิ่มความสามารถในการลักลอบและการหลบหลีกสำหรับผู้กระทำภัยคุกคาม

ในส่วนของกระบวนการพยายามที่จะส่งเพื่อแพร่กระจายมัลแวร์ไปยังระบบอื่น โดยโปรแกรมติดตั้ง MSI จะแสดงข้อความเพื่อกระตุ้นให้เหยื่อทำการส่งหรือแชร์โปรแกรมให้กับเพื่อน ๆ เพื่อรับการปลดล๊อคซอฟต์แวร์เวอร์ชันที่ดีกว่า จะมีไฟล์ "compiler.exe" เป็นตัวติดตั้ง(installer) เวลาเราเรียกใช้ไฟล์ติดตั้งมันจะไปอ่านคำสั่ง(Lua bytecode) ที่แอบซ่อนอยู่ในไฟล์ "readme.txt" ภายในไฟล์ ZIP ต่อมามันจะเซ็ทอัพตัวเองให้เกาะอยู่บนโฮสต์(persistence)โดยการสร้างรายการต่างๆการทำงานบนเครื่อง (scheduled task) นอกจากนี้ คำสั่งยังสร้างไฟล์ CMD ซึ่งไฟล์ CMD นี้จะรันโปรแกรม "compiler.exe" อีกที แต่เปลี่ยนชื่อเป็น "NzUw.exe" เพื่อให้ดูไม่น่าสงสัย

ในขั้นตอนสุดท้าย "NzUw.exe" จะเริ่มต้นการสื่อสารกับเซิร์ฟเวอร์ command-and-control (C2) ผ่าน HTTP ซึ่งเป็นที่อยู่ IP ดังกล่าวที่ระบุว่ามาจาก RedLine โดยมัลแวร์ทำหน้าที่เหมือนช่องทางลับ(backdoor) คำสั่งที่ส่งมาจากเซิร์ฟเวอร์ C2 เช่น การถ่ายภาพหน้าจอ และกรองผลลัพธ์ต่างๆที่ดักขโมยกลับไปยังเซิร์ฟเวอร์

การค้นพบมัลแวร์ RedLine Stealer ที่แฝงตัวในคลังเก็บข้อมูล Microsoft นี้เกิดขึ้นในช่วงเวลาเดียวกับที่ Recorded Future ได้เปิดเผย "แคมเปญอาชญากรรมไซเบอร์รัสเซียขนาดใหญ่" ที่มุ่งโจมตีชุมชนเกม โดยใช้กลยุทธ์หลอกลวงเกี่ยวกับเรื่องเกม Web3 ทำเลียนแบบปลอม ๆ เพื่อแพร่มัลแวร์ และขโมยข้อมูลสำคัญจากผู้ใช้ทั้ง macOS และ Windows เทคนิคนี้เรียกว่า "trap phishing" แคมเปญนี้จะเลียนแบบโดยมีการปรับเปลี่ยนชื่อและแบรนด์เล็กน้อยเพื่อให้ดูเหมือนของจริง พร้อมด้วยบัญชีโซเชียลมีเดียปลอมเพื่อเสริมความน่าเชื่อถือ

นอกจากนี้หน้าเว็บหลักของโปรเจ็กต์เหล่านี้จะทำการเสนอการดาวน์โหลดซึ่งเมื่อติดตั้งแล้ว จะแพร่เชื้อไปยังอุปกรณ์ที่มีมัลแวร์ “infostealer” ด้วยมัลแวร์ประเภทต่างๆ เช่น Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys หรือ RisePro ขึ้นอยู่กับระบบปฏิบัติการ

สามารถนำข้อมูล Indicators of Compromise ไปใช้เพื่อเพิ่มในการตรวจจับและป้องกันองค์กรจากปํญหาที่อาจจะเกิดในอนาคตได้

phishing Domains:

ai-zerolend[.]xyz
argongame[.]com
argongame[.]fun
argongame[.]network
argongame[.]xyz
astration[.]io
astrationgame[.]com
astrationgame[.]io
astrationplay[.]com
astrationplay[.]io
blastl2[.]net
cosmicwayrb[.]org
crypterium[.]world
crypteriumplay[.]com
crypteriumplay[.]io
crypteriumworld[.]io
dustfighter[.]io
dustfighter[.]space
dustfightergame[.]com
dustoperation[.]xyz
gameastration[.]com
playastration[.]com
playcrypterium[.]com
playcrypterium[.]io
testload[.]pythonanywhere[.]com
vether-testers[.]org
vether[.]org
worldcrypterium[.]io

5.42.64[.]83
5.42.65[.]55
5.42.65[.]102
5.42.65[.]106
5.42.65[.]107
5.42.66[.]22
5.42.67[.]1
31.31.196[.]178
31.31.196[.]161
82.115.223[.]26
89.105.201[.]132
144.76.184[.]11
193.163.7[.]160

‍

Ref.

https://thehackernews.com/2024/04/new-redline-stealer-variant-disguised.html

https://www.recordedfuture.com/cybercriminal-campaign-spreads-infostealers-highlighting-risks-to-web3-gaming

https://www.certik.com/resources/blog/1ky41ioJD7u1gatR9MLtUb-trap-phishing-on-trusted-platforms-a-new-phishing-trend-in-the-web3-world

‍

‍