據BleepingComputer消息，RedLine 信息竊取器的新變種正通過電子郵件進行傳播，以COVID-19 Omicron 病例計數器應用程序作為誘餌。

RedLine 是一種商業化信息竊取程序，通常以Chrome 、 Edge 和 Opera 等流行網絡瀏覽器為目標實施攻擊活動。

2020年3月，RedLine 首次出現在俄羅斯暗網上。目前，該程序在暗網以大約 200 美元的價格出售，暗網絡市場超過一半的被盜用戶憑證均由其提供。

該惡意軟件正在積極開發和不斷改進，并使用多種分發方式進行廣泛部署 。

RedLine 的目標是存儲在瀏覽器上的用戶賬戶憑證、虛擬專用網密碼、信用卡詳細信息、cookies、IM內容、FTP憑證、加密貨幣錢包數據和系統信息。

RedLine 的最新變體由Fortinet 分析師發現，相較于之前版本，新變體在信息竊取功能的基礎上，做了改進并增加了幾項新的功能。

竊取信息的目標范圍更廣

新變種添加了更多信息點以進行滲出，例如：

• 顯卡名稱
• BIOS 制造商、識別碼、序列號、發布日期和版本
• 磁盤驅動器制造商、型號、總磁頭數和簽名
• 處理器 (CPU) 信息，例如唯一 ID、處理器 ID、制造商、名稱、主頻和主板信息

這些數據在"Omicron Stats.exe "誘餌被首次執行時被獲取，該誘餌解壓了惡意軟件并將其注入vbc.exe中。

除了Omicron，新 RedLine 變體還針對 Opera GX 網絡瀏覽器等應用程序。

此外，該惡意軟件已經能通過搜索 Telegram 文件夾，定位圖像和對話歷史記錄，并將它們發送回攻擊者的服務器。之后對本地 Discord 資源進行詳細檢查，直到發現和竊取訪問令牌、日志和數據庫文件。

搜索 Discord日志的新 RedLine 變體

惡意軟件新變體活動特點

在分析新RedLine 變體活動時，研究人員發現，英國的一個 IP 地址通過 Telegram 消息服務，試圖指揮和控制其他計算機服務器。

“受控”的受害者分布在 12 個國家，但類似這樣的攻擊卻并未針對特定的組織或個人。

“此變體通過14588端口將 207[.]32.217.89 作為其 C2 服務器，該 IP 屬于 1GServers 。” Fortinet 報告解釋說 ，“在此變體發布后的幾周內，我們注意到一個 IP 地址 (149[.]154.167.91) 與此 C2 服務器通信。”

由于這是 RedLine 的新版本，我們應該很快就能看到其他威脅者利用它來發起新的網絡攻擊。

參考來源：

https://www.bleepingcomputer.com/news/security/new-redline-malware-version-spread-as-fake-omicron-stat-counter/