Специалисты «Лаборатории Касперского» выявили новую масштабную вредоносную кампанию, нацеленную на российские организации. Злоумышленники используют популярные бухгалтерские форумы для распространения опасного стилера RedLine, маскируя его под пиратский активатор программного обеспечения HPDxLIB.
Механизм атаки и особенности распространения
Кампания, стартовавшая в январе 2024 года, отличается целенаправленным подходом к атаке на бизнес-пользователей. Киберпреступники размещают на специализированных форумах объявления, предлагающие скачать обновленную версию активатора HPDxLIB. Злоумышленники детально описывают функционал по обходу лицензионных ограничений, акцентируя внимание на последних обновлениях.
Технические особенности вредоносного ПО
Вредоносная версия активатора имеет существенные отличия от легитимной: она разработана на платформе .NET и использует новый самоподписанный сертификат. Для сравнения, оригинальные версии создаются на C++ и подписываются действительным сертификатом. При выполнении инструкций происходит загрузка стилера RedLine, искусно замаскированного внутри активатора.
Механизм внедрения вредоносного кода
Атака реализуется через подмену легитимной библиотеки techsys.dll на вредоносную версию. При запуске корпоративного ПО процесс 1cv8.exe загружает модифицированную библиотеку, которая активирует стилер. Важно отметить, что для успешной атаки не используются программные уязвимости — злоумышленники полагаются исключительно на социальную инженерию.
Особенности работы RedLine Stealer
RedLine функционирует по модели Malware-as-a-Service (MaaS), специализируясь на краже конфиденциальных данных. Вредонос собирает информацию из браузеров, мессенджеров и системных данных, передавая их на командный сервер 213.21.220[.]222:8080. Исследователи отмечают, что данный сервер используется различными группировками, распространяющими RedLine по подписке.
Эксперты подчеркивают особую опасность данной кампании для бизнеса. Похищенные данные часто становятся инструментом для последующих атак, включая программы-вымогатели. Финансовые потери от подобных инцидентов многократно превышают стоимость легального программного обеспечения. Для защиты от подобных угроз организациям настоятельно рекомендуется использовать только лицензионное ПО и регулярно проводить обучение сотрудников основам информационной безопасности.
