I criminali informatici stanno inviando spam ai moduli di contatto dei siti Web e ai forum di discussione per distribuire file XLL di Excel che scaricano e installano la password RedLine e il malware che ruba informazioni.
RedLine è un trojan che ruba informazioni che ruba cookie, nomi utente e password e carte di credito archiviate nei browser Web, nonché credenziali e file FTP da un dispositivo infetto. Oltre a rubare dati, RedLine può eseguire comandi, scaricare ed eseguire ulteriore malware e creare schermate dello schermo di Windows attivo. Tutti questi dati vengono raccolti e inviati agli aggressori per essere venduti su mercati criminali o utilizzati per altre attività dannose e fraudolente.
Dopo aver analizzato numerose esche di phishing nelle ultime due settimane, BleepingComputer ha scoperto una campagna diffusa che prende di mira molti siti Web che utilizzano forum pubblici o sistemi di commento degli articoli. In alcune di esse BleepingComputer, ha riscontrato che gli attori delle minacce hanno creato siti Web falsi per ospitare i file XLL dannosi di Excel utilizzati per installare il malware.
Ad esempio, una campagna ha utilizzato un sito Web fasullo che imitava il sito legittimo di Plutio. Altri messaggi di spam fingono di essere rapporti di pagamento, richieste di pubblicità o guide ai regali con collegamenti a file XLL dannosi ospitati su Google Drive, come mostrato di seguito.
Di particolare interesse è un’esca rivolta ai proprietari di siti Web con richieste di pubblicità sul loro sito e chiedendo loro di rivedere i termini dell’offerta, il file ” terms.xll ” è ovviamente dannoso ed installa il malware.
Queste campagne di spam sono progettate per inviare file XLL di Excel dannosi che scaricano e installano il malware RedLine sui dispositivi Windows delle vittime.
Un file XLL è un componente aggiuntivo che consente agli sviluppatori di estendere le funzionalità di Excel leggendo e scrivendo dati, importando dati da altre fonti o creando funzioni personalizzate per eseguire varie attività. In sostanza, un file XLL non è altro che un file DLL che include una funzione “xlAutoOpen” eseguita da Microsoft Excel quando viene aperto il componente aggiuntivo.
Sebbene i test condotti da BleepingComputer e dal ricercatore di sicurezza TheAnalyst non stiano caricando correttamente il file XLL, potrebbero funzionare in altre versioni di Microsoft Excel. Tuttavia, l’esecuzione manuale della DLL con il comando regsvr32.exe o il comando ‘ rundll32 name.xll, xlAutoOpen ‘ estrarrà il programma wget.exe nella cartella %UserProfile% e lo utilizzerà per scaricare il file binario RedLine da un sito remoto.
Questo file binario dannoso viene salvato come %UserProfile%\JavaBridge32.exe [ VirusTotal ] e quindi eseguito.
Verrà inoltre creata una voce di esecuzione automatica del registro per avviare automaticamente lo stealer RedLine ogni volta che le vittime accedono a Windows. Una volta eseguito, il malware cercherà dati preziosi da rubare, incluse credenziali e carte di credito archiviate nei browser Chrome, Edge, Firefox, Brave e Opera.
