O que é o RedLine Stealer?
April 29, 2023
O RedLine é um malware stealer que visa principalmente as credenciais bancárias, mas é capaz de extrair outras informações também. Seu foco principal é invadir os navegadores da vítima para coletar informações de conta, dados de AutoFill e qualquer outra coisa valiosa que possa estar localizada. Controles convenientes, juntamente com recursos anti-detecção e anti-análise integrados, tornaram o RedLine um dos mais populares e prolíficos stealers presentes no mercado. Outra coisa notável sobre o RedLine Stealer são seus meios de disseminação que diferem da propagação regular por meio de spam de e-mail.
Amostras do RedLine Stealer
As primeiras menções deste stealer datam do início de 2020, mas o primeiro pico notável de atividade ocorreu apenas meio ano depois. Ele é distribuído sob o modelo Malware-as-a-service, principalmente através de anúncios em grupos do mensageiro Telegram. Os planos de assinatura variam de $100 por uma semana a $800 por "licença" vitalícia para o RedLine. A amostra é fornecida juntamente com um crypter - um software específico usado para cifrar a amostra de malware antes de implantá-la no ambiente. Esse procedimento diminui a chance de detecção e complica as tentativas de análise.
Propagação do RedLine Stealer
Como mencionado anteriormente, o RedLine Stealer utiliza algumas formas únicas de auto-propagação, diferentes do que é considerado comum atualmente. O spam de e-mail é barato e eficaz, mas atrai muita atenção. Os criminosos que espalham esse malware têm suas próprias opções, apesar de utilizar o spam em certos casos. E parece que eles dominaram bem suas abordagens o suficiente para superar todos os concorrentes.
Spam em redes sociais
As contas de redes sociais, especialmente as pertencentes a celebridades ou organizações bem conhecidas, geralmente são confiáveis por seus assinantes. Facebook, Twitter, Instagram - qualquer rede social acessível a partir do PC servirá, o ponto chave é encontrar contas que tenham a maior confiança. A engenharia social, ou a injeção de malware anterior, fornece aos hackers as credenciais da conta, e aqui começa o show.
Os criminosos que usam esse método para espalhar o RedLine raramente caem em spam óbvio que pode ser facilmente reconhecido. Em vez disso, eles tentam parecer convincentes o suficiente com banners que incluem detalhes sobre a organização ou pessoa e estão relacionados aos seus negócios habituais. Por exemplo, usando a conta de um provedor de internet, os hackers fizeram uma postagem com um link que levava ao download do RedLine Stealer, que promovia um software Adobe gratuito. É algo que as pessoas podem esperar de um provedor e apreciar tal cuidado com seus clientes - e, portanto, acabam caindo na armadilha.
Malware de queda
O malware de queda, ou baixador, é um tipo de malware usado para entregar outros malwares ao computador infectado. Extensas redes de computadores que estão executando um malware de queda são amplamente oferecidas na Darknet, para que qualquer um possa pagar para enviar seu malware para esses PCs. Os mestres do RedLine não desdenham dessa forma de disseminação, pois ela se mostrou bastante eficiente. Os problemas podem surgir se a rede já estiver "usada", ou seja, muitos outros malwares já foram entregues e a maior parte das informações valiosas provavelmente já foram extraídas.
O RedLine Stealer às vezes é aplicado como uma carga útil "instantânea" de malwares de queda. Isso acontece quando os hackers buscam entrar no sistema de maneira mais furtiva possível e, depois de obterem acesso inicial, implantam sua própria linha de programas maliciosos. Isso geralmente acontece com a backdoor do SmokeLoader, que, por sua vez, é frequentemente entregue junto com o ransomware STOP/Djvu. Além disso, as amostras desse malware entregues por um malware de queda são seriamente distintas das entregues de outra maneira.
Malvertising na busca do Google
O Google é considerado uma plataforma confiável de publicidade, na qual tanto os usuários quanto os anunciantes podem ter confiança no que veem e clicam. Mas como diz o ditado, nunca diga nunca. Eventos recentes com um fluxo massivo de anúncios maliciosos nos resultados de busca do Google se tornaram um método muito potente de disseminação de malware. Este não é o primeiro caso em que algo malicioso passa pelos anúncios do Google, mas a magnitude do caso atual é sem precedentes. Com mais frequência, esses sites replicam os sites de desenvolvedores de software gratuito ou as páginas oficiais para baixar algum software auxiliar, como drivers ou kits de ferramentas.
Neste caso, o malware é mascarado como um pacote de software legítimo - um arquivo ZIP. O nome do arquivo se assemelha ao que a vítima deve baixar, fazendo-a acreditar que está baixando algo seguro. Ao mesmo tempo, o sample dentro deste arquivo está inflado com seções nulas, o que fará com que ele ultrapasse o limite de tamanho de alguns programas de antivírus e anti-malware. No entanto, ele mantém toda a funcionalidade de um sample de RedLine Stealer regular e está pronto para causar danos como de costume após o desempacotamento.
Análise do RedLine Stealer
Em primeiro lugar, vamos dar uma olhada em como o RedLine é executado após ser entregue ao sistema de destino. Acima mencionamos o "criptografador", usado para proteger as strings de malware antes de serem realmente executadas. Juntamente com a ofuscação e empacotamento exclusivo para cada amostra, essa ferramenta de criptografia torna a amostra bastante difícil de detectar, apesar da relativa facilidade de sua análise. Sendo baseado em C#, o RedLine não é muito complicado para ferramentas de engenharia reversa, e, portanto, reverter o trabalho do compilador e ver o código não é uma tarefa difícil.
Uma característica distintiva do RedLine em comparação com outros malwares é a forma como ele é entregue. É um arquivo binário que contém uma ampla seleção de código inútil, que confunde a detecção de anti-malware. O payload real está contido em um arquivo .cab, criptografado com RC4 e colocado entre a seção do binário mencionado. Três arquivos deste arquivo são o payload real, o script que o executa e um script. Este último verifica o ambiente em busca da presença de processos em execução de software anti-malware. Primeiro, este script é iniciado e, se detectar a presença de programas anti-malware definidos, a execução é cancelada. Mas quando a verificação é realizada com sucesso, ele simplesmente passa a execução para o payload real.
Para executar-se, o malware se baseia em um carregador; as últimas versões do RedLine Stealer usam um script AutoIt anexado à carga principal, mas nada impede que ele use qualquer outra variante de código shell. Esse script obfuscado é necessário para descriptografar as strings do malware, criar facilidades para execução adicional do malware e fazer a carga rodar. Para armazenar todo o conteúdo do arquivo .cab mencionado acima, ele cria uma pasta no diretório Usuários/Temp. Ele também copia uma biblioteca ntdll.dll, renomeia-a e adiciona a esta pasta; todas as chamadas subsequentes a essa biblioteca irão para esta instância em vez da original. Isso, provavelmente, é mais uma etapa anti-detecção - soluções EDR frequentemente verificam as chamadas para bibliotecas do sistema.
O estabelecimento de persistência no ambiente atacado é feito com o uso do Agendador de Tarefas. Além disso, o RedLine Stealer cria outra pasta no diretório Temp, que é necessária para armazenar o script de carregamento de malware (aquele que descrevemos acima). Usando o Prompt de Comando, o malware cria uma tarefa para executar este script a cada 3 minutos.
Propagação por meio de malware dropper
Na maioria das vezes, o RedLine Stealer aparece como um malware autônomo, e isso dita a maneira de lançamento que descrevemos acima. No entanto, em ataques a alvos avançados, como organizações, o uso de downloaders é mais comum - sua furtividade é uma escolha muito melhor para ambientes bem protegidos. Isso, por sua vez, altera a cadeia de ações que antecedem a execução do malware. A maioria das mudanças está concentrada no fato de que o RedLine é entregue sem partes "mascaradas" excessivas do arquivo binário. No entanto, a criptografia profunda recomendada pelos desenvolvedores de malware é suficiente para evitar a detecção com essa forma de propagação.
Após se infiltrar no sistema infectado e iniciar, um shellcode é iniciado. Seu propósito comum é descriptografar o RedLine Stealer e o ocultar em um processo do sistema para torná-lo sigiloso. Usando uma chave de criptografia XTEA incorporada, ele descriptografa a DLL que é, na verdade, um malware na forma de uma assembleia .NET. Para colocar as strings descriptografadas e descompactadas, o RedLine aloca uma área de memória usando a função VirtualAlloc e a protege com o privilégio PAGE_EXECUTE_READWRITE.
Na próxima etapa, a execução é passada para outra parte do binário que realiza verificações anti-análise. Mas, em vez de uma enumeração de processos mais usual e da busca de processos que correspondam a sandboxes ou máquinas virtuais, ela verifica valores específicos do ambiente e executa DLLs. Se a variável Cor_Enable_profiling for verdadeira (ou seja, 0x1), o malware ignorará qualquer outra execução. O mesmo é feito se houver clrjit.dll ou mscorjit.dll – bibliotecas usadas em procedimentos de depuração do Framework .NET.
Se as verificações forem aprovadas, o malware prossegue com o carregamento da parte principal de sua assembleia a partir da seção de Recursos. Para chamar uma nova instância do Framework .NET, o malware manipula o mscoree.dll, na verdade, sua função CLRCreateInstance. Depois disso, o RedLine Stealer termina o processo de desembrulhar chamando a função Assembly.Load.
Comunicação C2
Em ambos os casos, a primeira coisa após ser descompactado e lançado, RedLine tentará entrar em contato com o servidor de comando e controle. No entanto, logo antes disso, ele também executa uma verificação de região. Se o endereço IP detectado do dispositivo infectado pertencer a um país ex-URSS, o malware cancela a execução. Esse é um comportamento bastante típico para malware cujos desenvolvedores vivem nesses países. O mesmo comportamento é registrado no malware SmokeLoader - ele interrompe a execução se a região proibida for detectada. A lista de regiões é codificada diretamente no código, assim não é possível alterar as preferências sem ter acesso ao código-fonte.
O conjunto de dados que é responsável por entrar em contato com o servidor de comando é codificado diretamente no malware e usa a mesma criptografia RC4 e codificação Base64 que o restante da amostra. Ele contém informações de endereço IP e ID do bot. Uma amostra pode carregar vários IPs e portas de servidores de comando, mas na maioria das vezes testemunhamos apenas um único endereço presente.
A mensagem inicial é necessária apenas para notificar o C2 sobre um novo computador infectado, portanto ela contém apenas um ID de bot e uma mensagem de texto curta. Esta última é comumente em branco, mas pode conter algo distintivo, a fim de agrupar os bots ou algo parecido. Após a mensagem inicial, vem a uma solicitação HTTP GET que obviamente pede as informações de configuração. Este último define quais funções o malware usará no sistema infectado.
Para escanear os diretórios, o malware recebe arquivos de configuração adicionais que contêm informações sobre os caminhos e os tipos/nomes de arquivos a serem procurados. Para enviar os dados de volta ao servidor, o malware usa solicitações HTTP POST com um marcador de ID específico no cabeçalho da mensagem. Esse número pode variar de 1 a 24; cada um deles corresponde a um tipo específico de dados. O malware forma e envia automaticamente a solicitação POST após obter sucesso na extração do tipo específico de dados.
Roubo de Dados do RedLine
A primeira e mais importante capacidade do RedLine Stealer é a reconhecimento do ambiente em que está sendo executado. Não se trata de truques anti-detecção e anti-análise, mas de ter uma pegada completa do sistema. O malware é capaz de executar essa ação mesmo quando recebe uma configuração em branco do C2, ou seja, é sua funcionalidade básica.
- Fuso horário
- Idiomas
- Informações de hardware
- Nome de usuário
- Versão e build do Windows
- Captura de tela
- Navegadores instalados
- Software antivírus instalado
- Processos em execução no momento
Usando configurações, o RedLine Stealer pode coletar uma gama muito mais ampla de dados, incluindo senhas de diferentes categorias, números de cartões bancários e carteiras de criptomoedas, bem como dados de navegadores da web e vários aplicativos desktop específicos. Vamos dar uma olhada em cada fonte de dados.
Navegadores da Web
O RedLine pode invadir inúmeros navegadores da web - desde os mais populares, como Chrome, Opera e Firefox, até alternativas baseadas em Chromium e Quantum. Os principais pontos de interesse são divididos em dados no navegador e dados de complementos relacionados a carteiras de criptomoedas. O stealer pode pegar senhas salvas e dados de cartões de crédito de formulários de preenchimento automático. Na verdade, ele pode pegar o que encontrar em preenchimento automático, pois esta é a principal maneira de roubar dados dos navegadores. Outra coisa que o RedLine Stealer procura nos navegadores da web são cookies. Dependendo da forma como o navegador armazena os cookies (ou seja, como um arquivo criptografado ou dentro de um banco de dados SQL), o malware pode extraí-los também.
As extensões do navegador são um pouco diferentes. O malware traz uma longa lista de extensões que são usadas para gerenciar carteiras de criptomoedas populares. O malware examina os arquivos do navegador da web para localizar algumas delas. Em seguida, ele descarrega os dados relacionados a todos os itens correspondentes (ou os ignora se nenhum for encontrado). Especificamente, ele visa senhas e cookies relacionados a essas extensões, copiando o que encontrar para sua pasta com arquivos. A lista de carteiras que ele visa é a seguinte:
| Metamask | EqualWallet | MathWallet |
| Coinbase | BinanceChain | BraveWallet |
| GuardaWallet | YoroiWallet | Tronlink |
| NiftyWallet | JaxxxLiberty | Phantom |
| Oxygen | MewCx | GuildWallet |
| SaturnWallet | RoninWallet | TerraStation |
| HarmonyWallet | Coin98Wallet | PaliWallet |
| BoltX | BitAppWallet | NamiWallet |
| MaiarDeFiWallet | Authenticator | iWallet |
| Wombat | AtomicWallet | TonCrystal |
| KardiaChain | LiqualityWallet | XdefiWallet |
Aplicativos para desktop
Há 3 programas de desktop aos quais o RedLine Stealer presta atenção específica. São eles Discord, Steam e Telegram messenger. O alvo principal é a sequestro de sessão e roubo de arquivos relacionados às sessões (no Telegram). Os dois primeiros têm uma maneira similar de gerenciamento de sessão, baseada em tokens. Ao atacá-los, o malware vai para seus diretórios em AppData\Roaming e vasculha seus arquivos procurando por tokens de sessão. O malware conhece o padrão de nomeação usado tanto pelo Steam quanto pelo Discord e procura especificamente pelos arquivos que se encaixam nessa convenção de nomeação.
O Telegram tem um mecanismo diferente de gerenciamento de sessão, que não permite o mesmo truque. Por esse motivo, o RedLine Stealer apenas pega todos os arquivos possíveis relacionados à sessão do usuário, armazenados na pasta AppData\Telegram Desktop\tdata.
Aplicativos VPN e FTP
O RedLine é capaz de roubar credenciais de login de vários serviços de VPN e aplicativos FTP. Entre eles estão OpenVPN, NordVPN, ProtonVPN e FileZilla. Para VPNs, ele simplesmente procura arquivos de configuração em seus diretórios de usuário. Por exemplo, para obter os dados dos usuários na NordVPN, ele procura em seu diretório - AppData\Local\NordVPN - e procura por arquivos .config. Neles, procura nós "//setting / value".
OpenVPN e ProtonVPN diferem apenas com seus caminhos de diretório e extensões de arquivos de configuração (.ovpn para OpenVPN). Os dados de login FTP são roubados por meio da análise dos arquivos de configuração correspondentes no diretório raiz. Para o FileZilla, esses arquivos são recentservers.xml e sitemanager.xml.
Arquivos/pastas específicos
Além das categorias de dados pré-definidas, o RedLine Stealer é capaz de pegar quaisquer arquivos se o mestre assim comandar. Ele aceita procurar por arquivos de formatos e nomes específicos; o mestre também pode pedir ao malware que pegue todo o conteúdo de um diretório com um nome específico. Essa função pode ser útil durante ataques direcionados, quando o ator da ameaça sabe que pode haver arquivos valiosos (projetos, relatórios etc.), mas eles vão além das capacidades dos módulos que visam dados da conta do usuário.
Proteção contra o RedLine
Assim como qualquer outro malware avançado, é melhor evitar a aparição do RedLine do que se preparar para consertar o sistema após um ataque. Esses métodos proativos são construídos em torno da forma como o malware se propaga para o seu sistema.
Tenha cuidado com mensagens em mídias sociais e e-mails. Claro, geralmente não representam uma ameaça, mas os hackers esperam que você pense exatamente assim. Técnicas de falsificação que são bastante comuns para operadores do RedLine Stealer permitem que eles pareçam naturais, especialmente considerando que eles geralmente espalham mensagens que se encaixam em sua disfarce. Por essa razão, você deve verificar cada "oferta generosa" duas vezes - por exemplo, em seu site oficial. Se não houver informações correspondentes nem anúncio de nenhum sorteio ou parceria, afaste-se de qualquer um deles.
Fique de olho nos anúncios em que você clica. A malvertising pode levá-lo a uma ampla gama de problemas diferentes - desde programas indesejados até adware. Mas o RedLine se aproveita de anúncios do Google, que são considerados seguros e livres dessas coisas. Portanto, eles carregam ainda mais perigos - e estatísticas horríveis sobre a última campanha relacionada a anúncios maliciosos nos resultados de busca do Google confirmam essa tese. Felizmente, as URLs das páginas que esses anúncios promovem são bastante fáceis de distinguir das originais. Outra dica é evitar qualquer anúncio nos resultados da pesquisa e rolar até as páginas reais - assim você clicará apenas no que é genuíno.
Use soluções de segurança avançadas. Essa é uma medida tanto proativa quanto reativa, pois ajudará a eliminar ameaças sofisticadas, como o malware de gota, e prevenir qualquer tentativa futura. Para a segurança corporativa, coisas como o sistema de Detecção e Resposta Estendidas, SIEM, firewalls e UBA são essenciais - e o primeiro é o que cria a espinha dorsal de todo o sistema de cibersegurança. Mas mesmo para usuários individuais, ter um programa confiável que encontre e derrote qualquer ameaça é uma boa decisão.
RedLine Stealer IoC
Hashes
SHA256: 2b173e6cde1985b8f98e19458e587a0bb2cb4d3ca2f43fbe90317148733c8c19 SHA256: 33a58fe28fd4991d416ec5c71ed1a3902fa1b3670f0c21913e8067b117a13d40 SHA256: 6b1a6e9d2fd406bd64d19f83d5d2da53daf81cb77deafd44093e328632c812e6 SHA256: 9b83295232742e7441e112964f0cc24b825f5c7367589781ce3cacf8516c47e5 SHA256: b386457fb2917a1e71aa8f8e24ce577984a2679d518cf0c098d6175f6410b569 SHA256: 87789525666ff30d7866ebd346e712e5cb17a029e892036d2798c29568e44ce2 SHA256: b3a7841c382f8037f81b90744e527677bf00e9d1e535e54c720bf9c201046285 SHA256: f9be3f2ebd3654b7ecc41d482840872e1daaede423dff221f925acc4c72a6ce3 SHA256: 4dbf6414e86f128d65b575fe220d5346a258c2b9c188c886a93bb9293291fceb SHA256: b23551685f437c0209057195a157c249b4f5489b5237c15a8c641190eedd0ada SHA256: 3dbb485f94bffbb6e070780451ccda0c651520b651ae9f2f763a8ff9fa70060e SHA256: b41e1a0228c495766f452ae25f5cf0ec032f4e5440b02beafc75af05b80a01b5 SHA256: 1e82ed7a9d804175a7b412ac27314dbdf2e2c3453aca9954a12a30a521f47a8d SHA256: 6c1b0a6370877b232e230baa8703139865662584854a4f8306c387baa1185b50 SHA256: 05321f9484b678c42a2e08e86f0674093eeb69b9a2c47608439946601cf098c1 SHA256: 2a2a05359afeb631127ebbb8d2d2f2c4c4e3f613a9e1e0fd3287e14577c2578f
MD5: c26fb943ff2fe11908905fc573975970 MD5: 76cb8ef17282d3e07be6f4c7ea3a4075 MD5: 651acd24fd7ca46d6c41676e58f655c7 MD5: eacee8508d4a8f42ab3d77d308260460 MD5: 280b496b1556d2beea8f7b9b7958d7cd MD5: 37e07863b33d8c7a3355a3c0e1668520 MD5: 1716bf4f93fc704a463c6517ec22fed5 MD5: b7649de5628e2c6b2be40b6d2fe115c5 MD5: abce7bb76cd0b298f352761c961c8727 MD5: 9b25deede4511de18e00c1214ba32532 MD5: 918fee161ff85beba22b171f1e401cce MD5: 85a7d125f19102f0e504443c721a850c MD5: 79f29087b398759dea999db7057989c4 MD5: 657e36feb61d77e8d2d9da0833c9b8e8 MD5: 374c04c530c8e3a4f82535e0be2c748c MD5: 7fc7660c4586ac5b6cf63d2bfa616867
IP addresses
| 95.217.146.176:4287 | 162.55.188.117:48958 | 8.9.31.171:21237 |
| 77.91.78.218:47779 | 88.198.124.103:40309 | 20.100.204.23:41570 |
| 193.233.20.13:4136 | 103.169.34.87:27368 | 207.246.70.132:23 |
| 95.216.27.23:42121 | 89.23.96.224:39812 | 88.218.171.68:20005 |
| 192.227.144.59:12210 | 193.57.138.163:28786 | 79.137.192.41:40084 |
| 77.73.131.143:3320 | 185.106.93.132:800 | 77.73.134.78:38667 |
| 70.36.106.161:10456 | 142.132.186.212:8901 | 138.128.243.83:30774 |
| 45.95.67.36:36262 | 213.166.71.44:10042 | 137.74.157.83:36657 |
| 51.161.104.92:47909 | 193.233.20.12:4132 | 147.135.165.21:36456 |
| 82.115.223.77:38358 | 135.181.204.51:20347 | 103.73.219.222:26409 |
| 45.15.157.156:10562 | 185.11.61.125:22344 | 116.203.231.217:39810 |
| 178.20.45.6:19170 | 45.83.178.135:1000 | 142.132.210.105:29254 |
| 95.217.14.200:34072 | 45.15.156.205:12553 | 176.113.115.17:4132 |
| 185.106.93.207:35946 | 193.233.20.11:4131 | 157.90.117.250:45269 |
| 190.2.145.79:80 | 185.94.166.20:80 | 95.217.146.176:4286 |
Observação: C2s grandes e de longo prazo, ou seja, aqueles que possuem inúmeras conexões, estão em negrito.
MITRE ATT&CK
| Technique ID | Name | Technique ID | Name |
|---|---|---|---|
| T1566 | Phishing | T1539 | Steal Web Session Cookie |
| T1552 | Unsecured Credentials | T1204 | User Execution |
| T1555 | Credentials from Password Stores | T1113 | Screen Capture |
| T1614 | System Location Discovery | T1124 | System Time Discovery |
| T1007 | System Service Discovery | T1087 | Account Discovery |
| T1518 | Software Discovery | T1057 | Process Discovery |
| T1120 | Peripheral Device Discovery | T1571 | Non-Standard Port |
| T1095 | Non-Application Layer Protocol | T1041 | Exfiltration Over C2 Channel |