A Fortinet hivatalos blogján a hét elején jelent meg az a figyelmeztetés, amelynek értelmében a COVID-19 omikron törzséről szóló hírekkel terjed a RedLine Stealer néven hivatkozott malware egyik variánsa. A FortiGuard Labs kutatói szerint a kártevő mögött álló emberek a világjárvány újbóli felfutását próbálják meg felhasználni rá, hogy információt és hitelesítő adatokkat lopjanak a betrükközött internetezőktől.

A RedLine egy olyan, viszonylag gyakori rosszindulatú program, amelynek célja, hogy ellopja a fertőzött rendszerekben talált összes felhasználónevet és jelszót- A Fortinet szerint a RedLine Stealer változat ebben az esetben továbbküldi az olyan VPN-alkalmazások tárolt hitelesítő adatait is, mint amilyen a NordVPN, az OpenVPN vagy a ProtonVPN. A probléma ebben az esetben a Windows-felhasználókat érinti.

A FortiGuard Labs nemrég fedezett fel egy az Omicron Stats.exe nevű fájlt, erről pedig kiderült, hogy a RedLine Stealer egyik változatáról van szó. A fertőzés vektorait egyelőre nem azonosították, de a szakemberek azt feltételezik, hogy a rosszindulatú programot e-mail üzenetekben terjesztik. A lehetséges áldozatokat eddig 12 országban azonosították, ami azt jelenti, hogy széles körű támadásról van szó konkrét célpontok nélkül.

Zsákszámra lopják vele az adatokat

A RedLine Stealerről egyébként 2020 márciusa körül bukkantak fel az első jelentések, azóta pedig gyorsan népszerűvé vált a darknetes piacon. A kutatók szerint az illegális piactereken akár tételenként 10 dollárért is el lehet adni a program segítségével ellopott felhasználói hitelesítési adatokat, amelyek az online fizetési portáloktól az e-banki szolgáltatásokon és a fájlcserélő eszközökön át a közösségi hálózati platformokig terjednek.

A Fortinet felhívja rá a figyelmet, hogy a malware éppen akkor jelent meg, amikor viégszerte beütött a pandémia. Miután a növekvő félelem és bizonytalanság közepette a felhasználók ébersége is csökkent, a bűnözők ráálltak, hogy a koronavírusról szóló (ál)hírekkel csalják lépre őket. Így a RedLine Stealer korábbi változatainak terjesztését is ilyen témájú levelekkel oldották meg, a csatolt dokumentumokba ágyazva a kódokat.

A múlt hónapban a Have I Been Pwned a Have I Been Pwnednek (HIBP) szolgáltatás közel 450 ezer egyedi e-mail címet vett fel az adatbázisába, miután felfedezték a RedLine Stealer naplóit és ezen keresztül több mint 6 millió publikussá vált rekordot. A Proofpoint egy 2020-as blogbejegyzése szerint a RedLine már akkor megvásárolható volt orosz fórumokon, ahol a lite és a pro változatok rendre 150 és 200 dollárba kerültek.