Die Bitdefender Labs beobachten aktuell eine intensive Kampagne, Schadcode mit dem Exploit-Kit RIG auszuspielen. Unter anderem verbreiten die Angreifer den Passwortdieb RedLine Stealer, um vertrauliche Anmeldeinformationen wie beispielsweise Passwörter, Kreditkarteninformationen, Krypto-Wallets und VPN-Login-Daten zu exfiltrieren.
Deutschland ist nach Indien am stärksten von der weltweiten Kampagne betroffen, die seit Anfang April deutlich an Intensität zugenommen hat.
Cyber-Kriminelle verbreiten das Exploit-Kit RIG für die Sicherheitslücke CVE-2021-26411 im Internet Explorer über Werbung auf legitimen Webseiten. Danach spielen sie über diese Internet-Explorer-Sicherheitslücke unter anderem auch den RedLine-Stealer-Payload aus.
Diese Schadsoftware erkundet zunächst systematisch das Zielsystem und sucht nach Benutzernamen, Hardware (Prozessor, Grafikkarte und Speicher), den installierten Browser und Antiviren-Lösungen sowie nach laufenden Prozessen und der Zeitzone. Anschließend sendet sie die Informationen an den Command-and-Control-Server.
Dazu zählen zum einen Passwörter, Kreditkarteninformationen, Zugangsdaten zu zahlreichen Krypto Wallets, Login-Daten verschiedener VPN-Anbieter (NordVPN, OpenVPN, ProtonVPN), Browser Cookies sowie Login-Daten und Chat-Protokolle von Instant-Messaging-Diensten wie Telegram oder auch Inhalte für das automatische Vervollständigen von Online-Formularen.
Die Schadsoftware sucht zudem nach Textinformationen in Dateien, wobei die Suchmuster vorgegeben werden.
Über RedLine Stealer und RIG
RedLine Stealer ist ein preisgünstiger Password Stealer, den seine Urheber in Untergrundforen anbieten. Er stiehlt neben Kennwörtern sowie Kreditkarteninformationen auch andere sensible Daten – und sendet sie an den Command-and-Control-Server. Sicherheitsexperten von Cyberint, Proofpoint und HP haben den RedLine-Stealer-Quellcode 2020 und 2021 beschrieben.
Was Unternehmen und Privatanwender jetzt tun sollten
Es gibt mehrere Punkte, die IT-Administratoren und Privatanwender jetzt beachten sollten:
- Sie sollten sicherstellen, dass ihre Antiviren- und Endpoint-Detection-and-Response-Lösungen diese Exploits erkennen.
- Sie sollten auf sogenannte Indicators of Compromise achten wie Signaturen und Kontakt mit bestimmten IP-Adressen. In der unten angeführten Bitdefender-Untersuchung finden sich konkrete Indikatoren.
- Unternehmen und Privatanwender sollten Betriebssysteme, Applikationen für den Browser sowie von Drittanbietern auf dem aktuellen Stand halten und Systeme priorisiert aktualisieren.