Durante todo o início de maio 2023, A equipe de analistas da GridinSoft observou um atividade anômala do ladrão RedLine. Isso é, na verdade, uma atividade diferente do que conhecíamos. Sobre 100,000 amostras deste malware apareceram através do primeiro 12 dias do mês – isso é demais, mesmo para ameaças mais massivas. Escusado será dizer que, para malware ladrão, um surto tão grande é confuso, para dizer o mínimo.
O que é malware RedLine?
Primeiro, deixe-me lembrá-lo o que é RedLine. É um infostealer clássico que visa credenciais de carteira de criptomoeda, formulários de preenchimento automático do navegador, biscoitos, e credenciais de outras aplicações. A forma mais comum de espalhar esse malware é o spear phishing, que contém arquivos infectados e links de phishing. Outra opção usada recentemente pelos mestres do malware é malvertising through Google Search ads. Este último supõe a criação de um site que replica a página de download de um software legítimo e gratuito – como 7zip, OBS Studio ou LibreOffice.
Surgiu cedo 2020, RedLine teve atividade moderada ao longo de sua vida. A primeira atividade perceptível aconteceu apenas meio ano após a detecção da primeira amostra – o que significa que seus desenvolvedores estavam criando seu malware do zero. Mas agora fez um pico enorme, que atingiu o pico em maio 7 - sobre 39,000 amostras surgiu naquele dia.
O que isso significa?
Na verdade, quase cem mil amostras não correspondem a 100,000 vítimas. O kit de ferramentas de malware RedLine oferece recompilação de amostras e seus desenvolvedores recomendam compilar uma nova amostra para cada ataque. Isso torna cada unidade de malware única, o que torna muito mais difícil detectar por programas antivírus clássicos. Utilitário de criptografia, que também é recomendado pelos desenvolvedores de malware para usar, torna ainda mais difícil.
Claro, algumas dessas amostras são definitivamente usadas em ataques contínuos. RedLine se concentra em operações contínuas e expansões de botnets, que exige a manutenção de altas taxas de infecção. A atividade “em segundo plano” deste malware é sobre 1,500 amostras por dia – ou seja, a maioria delas são usados em ataques reais. Enquanto isso, nenhum grande pico de infecção foi detectado recentemente, pelo menos não da escala da geração da amostra.
A hipótese mais preocupante é que RedLine está se preparando para um ataque massivo. Como esse ataque será conduzido – isso está prestes a ser adivinhado ou visto, ainda assim, os cibercriminosos raramente traem suas formas “clássicas” de disseminação. Email spam, especialmente aqueles feitos com precisão, continua muito eficaz e excepcionalmente barato – então por que eles reinventariam a bicicleta?
Outra ocasião possível é bem menos dramático, ainda não significa que a ameaça acabou. Uma geração tão grande de amostras pode ser o resultado de alguns testes – por exemplo, aqueles feitos para testar o compilador, criptografia, ou outro mecanismo. Nem eu nem qualquer outro analista podemos saber com certeza o que exatamente eles testam, mas essas mudanças podem ter diferenças qualitativas. A melhor maneira de entender o que isso significa é assistir, felizmente, essas manobras não perturbam de forma alguma a inteligência de ameaças.
Ladrão IoC RedLine
- Malware.U.RedLine.tr: 8e686687b92281fc447b5e025bbcc0139f1fce560a69fa721ec5c61f58c163dd
- Trojan.Win32.RedLine.mz!n: cd07f55fee9c352d07424a5a45e657f139d908bdfa73896f6dc92402dd42a6ca
- Spy.Win32.Redline.lu!heur: 78df5dd27086d25674a6b62028226b22b87a9a35c719324f6ed25618babb8409
- Spy.Win32.Redline.lu!heur: 0855a642a88abca0d504328addc0c43c70316540f768b669e4dfaf8de8d87f4e
- Trojan.Win32.RedLine.mz!n: acbb3d54b4392443037ed3ecb35d079cb2a9b11f914b3ee74f9ad2de1aee6ee3
- Malware.U.RedLine.tr: f4d1b970bc9e5d319c5432be9e3863b5a20bf26e557c8cea6f3949df0012cf01
- Malware.U.RedLine.tr: 77436bfe8498d733a09f07608054731d5f7ddb28e56ea7166c89fbae134fe334
- Trojan.Win32.RedLine.mz!n: acbb409f6fbe45fe6be7346c2d5ef43b86e095b2f63fe83d3edb4d3ca9eb4d7b
- Malware.U.RedLine.tr: 156a6f7f50aab5d04e30ddbaee8557857f48b5386d09150b178693731eac7b35
- Spy.Win32.Redline.lu!heur: bb69aa08bdbcaa8860d26feaa036760b683f0e164fb18b5a772f0c4321e63b1d
Como se manter protegido?
Já mencionei as formas de propagação preferidas que a RedLine tem utilizado desde o seu surgimento em 2020. Devem ser criadas medidas de proteção em torno da neutralização destes métodos. E, claro, como a última linha de defesa, deveria haver software anti-malware.
Execute uma verificação diligente para cada e-mail tu recebes. Pode parecer uma medida muito paranóica para mensagens, mas esteja ciente - não se trata de “apenas e-mails”. O número de ataques cibernéticos a empresas de todos os portes realizados por meio de spam por e-mail é assustador, portanto, tal ameaça não deve ser ignorada. Qualquer anexo questionável, link, ou endereço de e-mail estranho de um remetente é um sinal de alerta.
Use ferramentas de monitoramento de rede. Tanto ativo quanto passivo caberão, já que RedLine não aplica métodos complicados de antidetecção. Ainda, ele tenta falsificar o caminho do tráfego durante a comunicação C2 – e é aqui que brilham as soluções de proteção. Firewalls são muito mais baratos e mais fácil de configurar, mas não possuem capacidade de resposta reativa. Enquanto isso, Soluções NDR troque sua complexidade e custo pela capacidade de interceptar até mesmo as ameaças mais novatas.
Software antimalware – o último argumento dos reis. A situação ideal de segurança de rede é impedir que malware chegue à estação de trabalho ativa. Embora idealismo às vezes seja sinônimo de ingenuidade. Por essa razão, algo para fazer backup de sua segurança é essencial, ambos se você for um usuário doméstico ou estiver conectado à LAN corporativa. GridinSoft Anti-Malware é uma ótima opção para proteção doméstica, embora seja melhor procure uma opção especializada para proteger uma rede inteira.