Nueva campaña de phishing roba contraseñas usando RedLine Stealer

Los investigadores de seguridad advierten sobre una campaña actualmente en curso que utiliza el phishing para propagar malware ladrón que puede enganchar contraseñas y vaciar billeteras criptográficas.

La campaña aumentó en volumen a principios de abril de 2022. El equipo de seguridad que monitorea las alertas relacionadas con la campaña actual advierte que el actor de amenazas que difunde los correos electrónicos de phishing de volumen masivo los usa para entregar el malware ladrón RedLine .

¿Qué es el malware ladrón RedLine?

RedLine es una herramienta maliciosa vendida por sus autores utilizando el cada vez más popular esquema de malware como servicio, en el que los autores arriendan sus herramientas maliciosas a cualquier hacker en ciernes a cambio de una tarifa. En el caso del malware ladrón RedLine, esa tarifa es bastante modesta. Por la suma de $150, cualquier joven cibercriminal esperanzado puede hacer uso de las capacidades del malware. La herramienta maliciosa también se ofrece con un pago único de suscripción de por vida de $800.

La campaña de phishing actual utiliza señuelos simples, con un archivo adjunto contenido en el correo electrónico malicioso. Una vez que se descarga y ejecuta el archivo adjunto, el malware se instala y se pone a trabajar.

Un mapa de calor de los territorios más afectados en la campaña muestra que los principales objetivos de los piratas informáticos han sido Alemania, Brasil y EE. UU., seguidos de cerca por China y Egipto.

¿Qué puede hacer RedLine?

El malware ladrón RedLine abusa de una vulnerabilidad registrada como CVE-2021-26411. Esta es una vulnerabilidad de corrupción de memoria relativamente antigua en Internet Explorer, que se solucionó en 2021. Afortunadamente, esto reduce considerablemente la lista de posibles víctimas.

El ladrón RedLine, una vez implementado, puede extraer contraseñas, cookies y detalles de pago almacenados en los navegadores. El malware también puede filtrar registros de chat, credenciales de inicio de sesión de VPN y cadenas de billeteras criptográficas.

El hecho de que los sistemas de detección de malware ejecuten software que carece de parches esenciales emitidos hace meses muestra que los hábitos generales de mantenimiento y parches de los usuarios domésticos y las organizaciones aún no están a la altura.

Incluso los usuarios domésticos regulares deben mantener activadas todas las opciones de actualización automática en todo su software y verificar manualmente si hay actualizaciones para el software que no tiene esa funcionalidad cada dos semanas.