Исследователи ESET подробно описали работу RedLine Stealer, вредоносной программы-инфопохитителя, впервые обнаруженной в 2020 году компанией Proofpoint и функционирующей по модели «вредоносное ПО как услуга» (MaaS). Вредоносная программа предназначена для кражи различной информации, включая криптовалютные кошельки и учетные данные браузера.
RedLine Stealer
Внутренняя инфраструктура RedLine Stealer претерпела изменения: в версии 2023 года используется Windows Communication Framework, а в версии 2024 года - REST API для взаимодействия. Модули бэкенда, такие как RedLine.Nodes.DbController и RedLine.Nodes.LoadBalancer, написаны на C# с использованием фреймворка .NET и управляют партнерскими данными, рекламой и функциональностью сервера. Образцы вредоносного ПО могут быть настроены и предотвращают исполнение в нескольких странах.
Работа RedLine Stealer была прервана в апреле 2023 года, когда был удален его репозиторий на GitHub, использовавшийся в качестве резолвера мертвых капель. Однако операторы приспособились, распространяя новые версии панелей и перемещая свои dead-drop resolver'ы на Pastebin и, в конечном счете, на собственные домены. В серверные компоненты бэкэнда проникли исследователи, создавшие партнерские аккаунты и авторизовавшиеся без покупки подписки. Бэкэнд не использует традиционную базу данных, а хранит записи в виде объектов, закодированных в Protobuf, в отдельных файлах. Модуль LoadBalancer, который занимается созданием образцов вредоносного ПО, теперь включает функцию генерации самоподписанных сертификатов, а в последних версиях удалена функция перехвата буфера обмена.
META Stealer, впервые появившийся в 2022 году, имеет значительное сходство в коде с RedLine, что указывает на общее происхождение или создателя. И META Stealer, и Redline были уничтожены в ходе операции под названием Operation Magnus. Несмотря на ликвидацию, есть основания полагать, что RedLine может продолжать работать в той или иной степени, поскольку уже запущенные панели могут продолжать получать данные, а старые, взломанные копии вредоносной программы могут продолжать функционировать. Географическое распределение размещенных панелей RedLine и внутренних серверов указывает на значительное присутствие в России, Германии, Нидерландах, Финляндии и США, а внутренние серверы в основном расположены в России, Великобритании, Нидерландах и Чехии. Правоохранительным органам были предоставлены списки серверов аутентификации, полученные из расшифрованных файлов, что способствовало пресечению деятельности этих похитителей.
Indicators of Compromise
SHA256
- 256ae73e084b2ee120abebc4b69bab7154429326df6cfb727bdb27fd3cf8e0f4
- 5f92db78e43986f063632fb2cfafdce73e5e7e64979900783ca9a00016933375
- cdc6a0634e84af59f93974000d0f020cb5b7def2c7146e87f800f670ff1659d2
- f0f66fe55b2d06cb5c6d39bee110d87bc72d2ad4df416bd7c1d1562947e0375d
- fde991b388f65473179077821d9dd72876acbc3c45abae6f074d12ea9bf2f9cb
