Cybersicherheitsexperten haben eine neue, hochentwickelte Malware-Kampagne aufgedeckt, die gezielt russische Unternehmen ins Visier nimmt. Die Angreifer nutzen dabei beliebte Buchhaltungsforen zur Verbreitung des gefährlichen RedLine Stealers, der als vermeintlicher Software-Aktivator HPDxLIB getarnt ist.
Raffinierte Angriffsstrategie über Fachforen
Die seit Januar 2024 laufende Kampagne zeichnet sich durch einen präzisen Fokus auf Business-Anwender aus. Die Cyberkriminellen platzieren strategisch Werbeanzeigen in spezialisierten Foren, die eine aktualisierte Version des HPDxLIB-Aktivators bewerben. Mit detaillierten Beschreibungen zur Umgehung von Lizenzeinschränkungen und Hinweisen auf neueste Updates locken sie potenzielle Opfer.
Technische Analyse der Schadsoftware
Die manipulierte Version des Aktivators unterscheidet sich deutlich von der legitimen Software. Während das Original in C++ programmiert und mit einem gültigen Zertifikat signiert ist, basiert die Malware-Version auf .NET und verwendet ein selbst-signiertes Zertifikat. Bei der Installation wird der RedLine Stealer unbemerkt als getarnte Komponente des Aktivators heruntergeladen.
Infiltrationsmethode ohne Ausnutzung von Schwachstellen
Der Angriff erfolgt durch den Austausch der legitimen techsys.dll-Bibliothek gegen eine kompromittierte Version. Beim Start der Unternehmenssoftware lädt der Prozess 1cv8.exe die modifizierte Bibliothek, wodurch der Stealer aktiviert wird. Bemerkenswert ist, dass keine technischen Sicherheitslücken ausgenutzt werden – die Angreifer setzen ausschließlich auf Social Engineering.
RedLine Stealer: Gefährliches Malware-as-a-Service Tool
RedLine operiert nach dem MaaS-Modell und ist auf den Diebstahl vertraulicher Daten spezialisiert. Die Malware sammelt systematisch Informationen aus Browsern, Messaging-Apps und Systemdaten. Die gestohlenen Daten werden an einen Command-and-Control-Server unter 213.21.220[.]222:8080 übermittelt, der von verschiedenen kriminellen Gruppen im Rahmen eines Subscription-Modells genutzt wird.
Die aktuelle Kampagne stellt eine erhebliche Bedrohung für Unternehmen dar. Gestohlene Zugangsdaten werden häufig für weiterführende Angriffe, insbesondere Ransomware-Attacken, missbraucht. Die resultierenden finanziellen Schäden übersteigen die Kosten für legale Software um ein Vielfaches. Unternehmen wird dringend empfohlen, ausschließlich lizenzierte Software einzusetzen und regelmäßige Schulungen zur Cybersicherheit durchzuführen. Besonders wichtig ist die Sensibilisierung der Mitarbeiter für die Gefahren vermeintlich harmloser Software-Aktivatoren.
