Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили фишинговый сайт , имитирующий популярный сайт Convertio, который распространяет стилер Redline Stealer. Об этом пишет Securitylab.
На поддельном сайте пользователю предлагается выбрать входной файл. После выбора файла для преобразования пользователь может выбрать расширение выходного файла. После выбора типов файлов и нажатия кнопки «Конвертировать», жертва перенаправляется на страницу загрузки.
Когда пользователь нажимает на кнопку скачивания, загружается ZIP-архив. Вместо выбранного типа файла в ZIP-архив включается файл ярлыка. Он загружает 2 BAT-файла BAT с именами «2.bat» и «3.bat», а после запуска добавляет расширения «exe» и «bat». После этого загружается исполняемый файл с полезной нагрузкой в формате PDF.
На основании поведения исполняемый файл вредоносного ПО был идентифицирован экспертами как RedLine Stealer. Он нацелен на веб-браузеры, криптокошельки и такие приложения, как FileZilla, Discord, Steam, Telegram и VPN-клиенты.
Кроме того, он собирает информацию о зараженной системе – ОС, оборудование, запущенные процессы, антивирусные продукты, установленные программы и язык. Затем стилер эксфильтрует все данные на удаленный сервер злоумышленника.