RedLine Stealer

RedLine Stealer - это вредоносная программа, которая собирает конфиденциальные данные пользователей из браузеров, систем и установленного программного обеспечения. Она также заражает операционные системы другими вредоносными программами.

Что такое RedLine Stealer?

RedLine Stealer или RedLine - это вредоносное ПО, которое может собирать конфиденциальную информацию пользователей и поставлять другие вредоносные программы. Доступность и гибкость приводят к финансовым потерям, утечке данных, нацеливаясь как на корпоративные, так и на персональные устройства. Больше всего от этих атак страдают здравоохранение и производственный сектор.

По данным расследования Proofpoint, вредоносная программа появилась в марте 2020 года. С тех пор RedLine только набирает обороты. Он был на подъеме во время пандемии COVID-19 и до сих пор активен. 1 июля 2021 года вредоносная программа была обнаружена на легитимно выглядящем сайте, предоставляющем инструменты для обеспечения конфиденциальности. Однако, судя по анализу полезной нагрузки, там можно найти только вредоносное ПО.

Общее описание вредоносной программы RedLine

RedLine - это Stealer, который получает информацию о пользователях из браузеров, систем обмена мгновенными сообщениями и клиентов протокола передачи файлов. Основной целью являются пароли, информация о кредитных картах, имя пользователя, местоположение, данные автозаполнения, cookies, набор программ и даже конфигурация оборудования, например, раскладка клавиатуры, настройки UAC и т.д. Вирус также способен похищать криптовалюту.

Вредоносная программа действует как типичный крадун, такой как Raccoon или Pony: она загружает и скачивает файлы, выполняет команды и сообщает информацию о зараженной машине. Кроме того, злоумышленники используют RedLine для доставки ransomware, RAT, троянов и майнеров.

Инфохилер довольно популярен, так как найти его не составляет труда. Подпольные форумы, C&C-панели предлагают различные варианты, такие как версии вредоносного ПО как услуги или подписка. Цена варьируется от 100 до 200 долларов.

Нельзя сказать, что RedLine Stealer - это сложная вредоносная программа типа ransomware. Она обладает обычными функциями, характерными для этого семейства. Однако это вредоносная программа .Net, написанная на C#, и качество кода достаточно высокое, чтобы выявить опытного программиста, стоящего за ней. Киберпреступники также усердно работают над обновлением вредоносного ПО, например, загружают вторичную полезную нагрузку и расширенные функции фильтрации.

Процесс выполнения RedLine Stealer

Как правило, процесс выполнения этого крадуна прост и понятен. На основе анализа запускается основной бинарник, а родительский процесс останавливается. Он также может быть сброшен из другого бинарного файла или быть самим главным бинарным файлом. Когда дочерний процесс создан, начинается основная вредоносная деятельность - RedLine собирает информацию с зараженной системы, такую как пароли и прочее, и отправляет ее на панель Command & Control. Когда вся информация собрана и отправлена, Stealer процесс просто завершает выполнение. Украденная информация отправляется как в незашифрованном, так и в base64 закодированном виде.

Распространение RedLine

Злоумышленники не слишком изобретательны в выборе способа доставки вируса. Однако, как и в случае с ransomware, метод отлично работает - социальная инженерия для различных кампаний электронной почты, включая компрометацию деловой почты, спам, поддельные обновления, реклама в Google приводят к появлению вредоносных вложений или ссылок. Мы можем отметить большое разнообразие форматов файлов:

  • Office
  • PDF
  • RAR и ZIP
  • Исполняемые файлы
  • JavaScript

Если вы откроете файлы во вложении, RedLine загрузит другие вредоносные программы.

Как обнаружить RedLine infostealer с помощью ANY.RUN?

Заключение

Лучший способ защитить свою организацию или устройство от RedLine - это с осторожностью относиться к подозрительным файлам и ссылкам, которые попадают в электронную почту. Ваши сотрудники должны знать, что даже надежные источники могут привести к заражению и краже пароля или других учетных данных.

Поделиться с друзьями
SEC-1275-1