据Cyber Security News消息，卡巴斯基发现，一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序，目标是一些俄国企业。

报告表明，该攻击活动开始于 2024 年 1 月，通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具，该工具主要用来激活一些商业软件。

根据发现的激活器样本，RedLine被一种非常不寻常的方式隐藏，激活器库被 .NET Reactor 混淆，恶意代码被压缩和加密成多个层。研究人员注意到，恶意版本的激活工具在 .NET 中构建，并使用了自签名证书，而合法的 C++ 版本则使用了有效证书。

攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接，并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样，在安装时会要求用户关闭相应的安全保护，以此逃避安全检测，否则软件将无法正常运行。

另外，用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件，并在执行已打补丁的软件时，通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。 这种方法利用的是用户的信任，而不是企业软件的漏洞。

RedLine 窃取程序以恶意软件即服务（MaaS）的形式传播，其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据，包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。

该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。 因此，为了安全起见，企业应避免使用盗版软件。

参考来源：

RedLine Malware Weaponizing Pirated Corporate Softwares To Steal Logins