Une nouvelle campagne de phishing vole des mots de passe à l'aide de RedLine Stealer
Les chercheurs en sécurité mettent en garde contre une campagne en cours qui utilise le phishing pour diffuser des logiciels malveillants voleurs capables d'attraper des mots de passe et de vider des portefeuilles cryptographiques.
La campagne a pris de l'ampleur début avril 2022. L'équipe de sécurité surveillant les alertes liées à la campagne en cours avertit que l'acteur menaçant diffusant les e-mails de phishing en masse les utilise pour diffuser le malware voleur RedLine .
Qu'est-ce que le malware voleur RedLine ?
RedLine est un outil malveillant vendu par ses auteurs en utilisant le schéma de plus en plus populaire malware-as-a-service, où les auteurs louent leurs outils malveillants à tout pirate en herbe moyennant des frais. Dans le cas du malware voleur RedLine, ces frais sont assez modestes. Contre la somme de 150 $, tout jeune cybercriminel plein d'espoir peut utiliser les capacités du logiciel malveillant. L'outil malveillant est également proposé contre un paiement d'abonnement unique à vie de 800 $.
La campagne de phishing actuelle utilise des leurres simples, avec une pièce jointe contenue dans l'e-mail malveillant. Une fois la pièce jointe téléchargée et exécutée, le logiciel malveillant s'installe et se met au travail.
Une carte thermique des territoires les plus durement touchés par la campagne montre que les principales cibles des pirates ont été l'Allemagne, le Brésil et les États-Unis, suivis de près par la Chine et l'Égypte.
Que peut faire RedLine ?
Le malware voleur RedLine exploite une vulnérabilité enregistrée comme CVE-2021-26411. Il s'agit d'une vulnérabilité de corruption de mémoire relativement ancienne dans Internet Explorer, qui a été corrigée en 2021. Heureusement, cela réduit considérablement la liste des victimes possibles.
Le voleur RedLine, une fois déployé, peut récupérer les mots de passe, les cookies et les détails de paiement stockés dans les navigateurs. Le logiciel malveillant peut également exfiltrer les journaux de discussion, les identifiants de connexion VPN et les chaînes de portefeuille crypto.
Le fait que les logiciels malveillants ciblent les systèmes exécutant des logiciels dépourvus de correctifs essentiels publiés il y a des mois montre que les habitudes générales de maintenance et de correction des utilisateurs à domicile et des organisations ne sont toujours pas à la hauteur.
Même les utilisateurs à domicile réguliers doivent garder toutes les options de mise à jour automatique de tous leurs logiciels activées et vérifier manuellement les mises à jour des logiciels qui ne disposent pas de cette fonctionnalité toutes les deux semaines.