Исследователи ESET, в процессе работы с правоохранительными органами, изучили внутренние модули вредоносного ПО RedLine Stealer. Удаление RedLine Stealer и его клона META Stealer было результатом операции под кодовым названием Operation Magnus, проведенной правоохранительными органами в октябре 2024 года. При этом были уничтожены серверы, изъяты домены, а также задержаны подозреваемые.
RedLine Stealer
Исследователи ESET приняли участие в операции по уничтожению части RedLine Stealer в 2023 году, удалением репозиториев GitHub. Они также провели исследования недокументированных модулей, которые не взаимодействуют с вредоносным ПО напрямую, но обеспечивают функциональность панели управления. Исследователям удалось выявить более 1000 IP-адресов, используемых для размещения панелей управления RedLine. Они также установили, что RedLine Stealer и META Stealer имеют одного и того же создателя.
RedLine Stealer - это вредоносная программа для кражи информации, работающая по модели MaaS. Любой желающий может приобрести готовое решение для кражи информации и интегрировать его в свои кампании. Клиенты, называемые аффилиатами, получают панель управления и генерируют образцы вредоносного ПО. Эти образцы могут собирать различную информацию, включая данные криптовалютных кошельков, куки, учетные данные и данные кредитных карт из браузеров, а также данные из различных приложений.
Исследователи также пояснили используемую терминологию в своем обозрении. Вредоносная программа RedLine Stealer состоит из вредоносной программы, панели управления и модулей бэкэнда. Бэкэнд-сервер является сервером, на котором работает бэкэнд RedLine. Жертва - это объект, на который направлено вредоносное ПО RedLine. Оператор - это лицо или команда, которые разрабатывают и управляют RedLine Stealer. Аффилиаты - организации, которые проводят кампании по краже информации через панель RedLine.
Исследование ESET представляет интересные результаты, позволяющие лучше понять внутреннюю работу RedLine Stealer. Это важная информация для разработчиков антивирусных программ и правоохранительных органов, которые борются с киберпреступностью.
Indicators of Compromise
Domains
- fivto.online
- spasshik.xyz
SHA1
- 06a2a900561c122f45088a5eae9146f7675c63f6
- 1626f2666782710fc28d4afe607c7be54f1fc67f
- 1ab006b1c5403ba4648059df93b6daeb0e3ec43f
- 1ad92153b56fc0b39f8fcec949241ec42c22fa54
- 27bd472729439d5b8814d4a8a464af9832198894
- 2e5d9f2ed82c81609f4c49ea31642b1fb5fc11b5
- 37d1221ce6bb82e7ad08fd22bd13592815a23468
- 47b78a5698a289c73175c5c69786de40c7c93c12
- 49be1d7c87ac919bb9083fa87f7b907e5f2c9835
- 4bf4d42eed7fca8fd52863b7020ac646ec6d97e9
- 607dba5f630a1dbff0e13eeba2730ab9ab2fb253
- 66c0e7e74c593196e0925a7b654e09258e3b1fb7
- 8a0cafe86c0774f1d9c7f198505ae15d04447dd6
- a154dfaedc237c047f419eb6884dab1ef4e2a17d
- dc3a236245ae8c4d5d079e429ed6b77a5b5245c2
- ee153b3f9b190b1492defbb1c70830a28f7c41b2
- fb3abac1fac852ae6d22b7c4843a04ce75b65663
