I ricercatori di McAfee hanno scoperto una nuova variante di Redline Stealer che viene distribuita tramite un falso tool di cheating. La novità rispetto al passato è relativa all’uso del linguaggio Lua per evitare la rilevazione da parte delle soluzioni di sicurezza. Gli attacchi sono stati effettuati in molti paesi, Italia inclusa.
Meglio non barare durante il gioco
La catena di infezione inizia con il download di un tool di cheating denominato Cheat Lab. Il file ZIP era ospitato nel repository vcpkg di Microsoft su GitHub. All’interno dell’archivio c’era un installer MSI che contiene tre file: compiler.exe
, lua51.dll
e readme.txt
.
I primi due sono versioni modificate dei file del progetto Lua. Quando l’ignara vittima avvia il file MSI vede la schermata di installazione di Cheat Lab. Successivamente viene chiesto all’utente di condividere l’installer con altre persone per avere accesso alla versione completa del tool.
Nel frattempo, i tre suddetti file sono copiati su disco. Il primo (compiler.exe
) accede al file di testo, in cui c’è il Lua bytecode da eseguire. Viene inoltre creata un’attività pianificata per l’esecuzione all’avvio del computer (persistenza). Redline Stealer contatta quindi il server C2 (command and control), al quale invia uno screenshot delle finestre aperte e le informazioni sul computer.
Il malware è un noto info-stealer, quindi può rubare numerosi dati, tra cui password e cookie. Microsoft ha rimosso il file ZIP dal repository. Gli utenti dovrebbero evitare il download dei tool di cheating, soprattutto da siti sconosciuti. Chi bara durante il gioco potrebbe ricevere una sgradita sorpresa.