文章图片

导致RedLine Stealer的进程执行
在文本编辑器中查看反转的DLL文件 。
由于文件的内容被颠倒 ， 我们可以得到一个动态链接库（DLL） 。 这个DLL被初始进程加载后 ， 它会再次执行自己 ， 然后用下载的DLL替换当前线程 。 这就是RedLine Stealer的有效载荷 ， 一个典型的信息窃取的方式 。 它可以收集当前执行环境的各种信息 ， 如用户名、计算机名称、安装的软件和硬件信息 。 该恶意软件还能从网络浏览器中窃取存储的密码 ， 信用卡信息等数据 ， 甚至是加密货币文件和钱包 。 为了渗出信息或接收进一步的指示 ， RedLine Stealer会打开一个TCP连接到配置命令和控制（C2）服务器 。
无独有偶的偷梁换柱事件
这个RedLine Stealer中运用的技术和程序（TTPs）与惠普曾在在2021年12月分析的一个恶意软件相似 。 在该事件中 ， 恶意行为者注册了discrodappp[.]com域名 ， 他们用它来提供RedLine Stealer ， 伪装成流行的消息应用程序的安装程序 。 在这两个事件中 ， 恶意行为者使用模仿流行软件的假网站来欺骗用户安装他们的恶意软件 ， 使用相同的域名注册商注册域名 ， 使用相同的DNS服务器 ， 并提供相同系列的恶意软件 。

文章图片

真的是防人之心不可无 ， 这些恶意行为者利用当下流行软件的更新为引 ， 创建一个假网站来吸引用户下载他们的恶意软件 。 从而获取用户的各种重要个人信息 。 想要避免自己上当受骗 ， 只需要在值得信赖的软件下载来源防止这种事件的发生 ， 或在下载前仔细辨别域名 ， 认准网站的官方标识 。
相关链接：https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/
《 新程序员003 》正式上市 ，50余位技术专家共同创作 ， 云原生和数字化的开发者们的一本技术精选图书 。 内容既有发展趋势及方法论结构 ， 华为、阿里、字节跳动、网易、快手、微软、亚马逊、英特尔、西门子、施耐德等30多家知名公司云原生和数字化一手实战经验！
? 雷军再失猛将 ， 小米12号创始员工李伟星离职 ， 曾一起喝粥创立小米；英特尔54亿美元收购Tower半导体|极客头条
?50年前 ， Hello World发明者第一次提交的Go代码长这样……
【偷梁换柱 “Windows 11安装包”化身恶意程序？】? 从1750亿到1.6万亿 ， 人工智能未来：除了大模型 ， 还有什么？