Онлайн-конвертер Convertio распространяет Redline Stealer

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили фишинговый сайт , имитирующий популярный сайт Convertio, который распространяет стилер Redline Stealer.

На поддельном сайте пользователю предлагается выбрать входной файл. После выбора файла для преобразования пользователь может выбрать расширение выходного файла. После выбора типов файлов и нажатия кнопки «Конвертировать», жертва перенаправляется на страницу загрузки.

Фишинговый (слева) и настоящий сайт (справа) Convertio

Когда пользователь нажимает на кнопку скачивания, загружается ZIP-архив. Вместо выбранного типа файла в ZIP-архив включается файл ярлыка. Он загружает 2 BAT-файла BAT с именами «2.bat» и «3.bat», а после запуска добавляет расширения «exe» и «bat». После этого загружается исполняемый файл с полезной нагрузкой в ​​формате PDF.

Вредоносный ярлык

На основании поведения исполняемый файл вредоносного ПО был идентифицирован экспертами как RedLine Stealer. Он нацелен на веб-браузеры, криптокошельки и такие приложения, как FileZilla, Discord, Steam, Telegram и VPN-клиенты.

Кроме того, он собирает информацию о зараженной системе – ОС, оборудование, запущенные процессы, антивирусные продукты, установленные программы и язык. Затем стилер эксфильтрует все данные на удаленный сервер злоумышленника.