Die Bitdefender Labs beobachten aktuell eine intensive Kampagne, Schadcode mit dem Exploit-Kit RIG auszuspielen. Unter anderem verbreiten die Angreifer den Passwortdieb „RedLine Stealer“, um vertrauliche Anmeldeinformationen wie Passwörter, Kreditkarteninformationen, Krypto-Wallets und VPN-Login-Daten zu exfiltrieren. Deutschland ist nach Indien am stärksten von der weltweiten Kampagne betroffen, die seit Anfang April deutlich an Intensität zugenommen hat.
Cyber-Kriminelle verbreiten das Exploit-Kit RIG für die Sicherheitslücke CVE-2021-26411 im Internet-Explorer über Werbung auf legitimen Webseiten. Danach spielen sie über diese Internet-Explorer-Sicherheitslücke unter anderem auch den Redline-Stealer-Payload aus.
Diese Schadsoftware erkundet zunächst systematisch das Zielsystem und sucht nach Benutzernamen, Hardware (Prozessor, Grafikkarte und Speicher), den installierten Browser und Antiviren-Lösungen sowie nach laufenden Prozessen und der Zeitzone. Anschließend sendet sie die Informationen an den Command-and-Control-Server. Dazu zählen zum einen Passwörter, Kreditkarteninformationen, Zugangsdaten zu zahlreichen Krypto-Wallets, Login-Daten verschiedener VPN-Anbieter (NordVPN, OpenVPN, ProtonVPN), Browser-Cookies sowie Login-Daten und Chat-Protokolle von Instant-Messaging-Diensten wie Telegram oder auch Inhalte für das automatische Vervollständigen von Online-Formularen. Die Schadsoftware sucht zudem nach Textinformationen in Dateien, wobei die Suchmuster vorgegeben werden.
Was Unternehmen und Privatanwender jetzt tun sollten
Es gibt mehrere Punkte, die IT-Administratoren und Privatanwender jetzt beachten sollten:
• Sie sollten sicherstellen, dass ihre Antiviren- und Endpoint-Detection-and-Response-Lösungen diese Exploits erkennen.
• Sie sollten auf sogenannte Indicators of Compromise achten wie Signaturen und Kontakt mit bestimmten IP-Adressen. In der unten angeführten Bitdefender-Untersuchung finden sich konkrete Indikatoren.
• Unternehmen und Privatanwender sollten Betriebssysteme, Applikationen für den Browser sowie von Drittanbietern auf dem aktuellen Stand halten und Systeme priorisiert aktualisieren.
Über Redline-Stealer und RIG
Redline-Stealer ist ein preisgünstiger Password-Stealer, den seine Urheber in Untergrundforen anbieten. Er stiehlt neben Kennwörtern sowie Kreditkarteninformationen auch andere sensible Daten – und sendet sie an den Command-and-Control-Server. Sicherheitsexperten von Cyberint, Proofpoint und HP haben den Redline-Stealer-Quellcode 2020 und 2021 beschrieben.
Die vollständige Analyse der Redline-Stealer-Kampagne mit den Incidents of Compromise finden sich hier: https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign
#Bitdefender