RedLine Stealer: 新的BATLOADER攻击活动

关键要点

• RedLine Stealer 在新一轮 BATLOADER 攻击中被利用，借助 Google 搜索广告传播。
• 攻击者通过使用与 ChatGPT 和 Midjourney 相关的关键词，投放假广告，诱导用户下载恶意软件。
• 安装后，恶意程序利用 Microsoft Edge WebView2 来掩盖其活动，加载合法的 ChatGPT 和 Midjourney URLs。
• 此外，Palo Alto Networks 的 Unit 42 发现与 ChatGPT 相关的域名注册数量在2022年11月至2023年4月初增长了910%。

最近，RedLine Stealer 已通过新的 BATLOADER 攻击活动在网络上流传。据《黑客新闻》报道，这次攻击利用了 Google搜索广告，专门针对 ChatGPT 和 Midjourney 生成性 AI服务。攻击者利用一些关键字，投放虚假广告，这些广告会将用户重定向到网页上，以便安装 ChatGPT 或 Midjourney 可执行文件，同时伴随着一个 PowerShell 脚本，使得 RedLine Stealer 下载得以完成。

根据 eSentire 的报告，用户在安装后并不会轻易检测到恶意活动，因为该恶意程序采用了 Microsoft Edge WebView2，这样可以加载合法的 ChatGPT 和 Midjourney URLs，进一步掩盖其真实意图。

eSentire 早前也提到，BATLOADER 曾被用于通过 ChatGPT 欺骗进行 Vidar Stealer 和 Ursnif 恶意软件的分发。而 Sophos 最近指出，在正规的 Google 和 Apple 应用商店中，出现了与 ChatGPT 相关的“羊毛黏性软件”应用。此外，Palo AltoNetworks 的 Unit 42 还观察到，自 2022 年 11 月以来，与 ChatGPT 相关的域名注册量在 2023 年 4月初前增长了令人震惊的 910%。

这种趋势显示了网络攻击者如何利用热门话题和技术来实施其恶意活动，提醒用户在寻找 AI 工具时保持警惕。