Blog

TOP Malware Series: RedLine Stealer

RedLine Stealer (o simplemente RedLine) es un malware de tipo Troyano (RAT) que opera mediante la modalidad de «Malware-as-a-Service» (MaaS), es decir, un malware diseñado para ser comercializado como un servicio, permitiendo a todos aquellos interesados en adquirir RedLine en tener una gran de cantidad de acciones dentro de un equipo comprometido. Algo muy similar a XLoader, pero con la diferencia que todo se gestiona mediante una aplicación cliente, mientras que el servicio te ofrece la infraestructura de Command and Control. Los precios estimados dentro de los foros clandestinos son muy variados, debido a que existe una variante oficial y una «crackeada», cuyos valores son entre $100 USD (pago mensual) hasta $200 USD (Licencia de por vida), pero también se ha registrado que en algunos foros vendan versiones «crackeadas» a $300 USD e incluso, gratuitos.

El negocio de la adquisición de una licencia para utilizar RedLine se realiza mediante dos canales en Telegram. Donde se puede solicitar soporte, información del producto y el acceso para realizar el pago correspondiente.

Software Cliente RedLine
Imagen: proofpoint

RedLine es conocido como un Stealer, un malware del tipo troyano, que se introducen a través de internet en una estación de trabajo con el propósito de obtener de forma fraudulenta información confidencial de la víctima, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.

RedLine Stealer no es un malware tan sofisticado como lo puede ser un ransomware. Tiene las características habituales típicas de esta familia. Sin embargo, este malware esta escrito en C#, y la calidad del código es lo suficientemente alta como para intuir que la persona detrás de RedLine es un programador muy experimentado. Los ciberdelincuentes también trabajan duro para darle nuevas actualizaciones al malware, convirtiéndolo principalmente en una gran herramienta para desplegar payloads y funciones de filtrar información avanzada.

Gracias a su simpleza, su bajo costo de licencia y factibilidad de operaciones, RedLine es uno de los malwares más usados por diferentes actores de amenazas para llevar a cabo sus operaciones en diferentes campañas de spam, sitios webs maliciosos, cracks y «herramientas» gratuitas por Internet.

Página Web fraudulenta para distribuir RedLine como una «actualización» a Windows 11
Imagen: HP

También una de las formas de distribución más empleadas es mediante un archivo adjunto en portales de descargas anónimos como AnonFiles (y también vía Discord), utilizando campañas de spam denominadas como «Malvertising». El malvertising es el uso de la publicidad en línea para difundir programas maliciosos. Suele consistir en inyectar anuncios maliciosos o cargados de malware en redes publicitarias y páginas web legítimas.

Características de RedLine Stealer

  • Extraer las credenciales del dispositivo.
  • Extraer las Cookies del navegador.
  • Extraer las credenciales guardados en el navegador.
  • Extraer información de los campos autocompletados.
  • Identificar los componentes del sistema y el sistema de defensa implementada.
  • Desplegar un Backdoor para establecer comunicación y acceso a la maquina.
  • Implementar una extensión maliciosa en el navegador para registrar toda la información que la victima este agregando, como un Keylogger y la posibilidad de tomar screenshot sin que el usuario se entere.
  • Robar Criptomonedas en diferentes Wallets.
  • Obtener información de todos los navegadores que se encuentren basados en Chromium y Gecko.

Distribución de RedLine Stealer

RedLine Stealer usa múltiples vectores de ataque para llegar a la mayor cantidad de maquinas posibles. Por lo general, los atacantes no llevan a cabo métodos novedosos, sino que simplemente aplican una técnica ya clásica en los malwares de bajo y alto nivel, el uso de la ingeniería social mediante correo electrónico. Los cuales invitan a la victima en realizar una acción. Ya sea entrando a un enlace random y descargando un archivo o incluso en los mismos correos vienen con un adjunto. También se ha llegado a registrar falsas páginas de softwares, en sitios webs de cracks y en anuncios fraudulentos en Google, técnicas de spam llamadas Malvertising.

Algunos de los adjuntos más comunes con su payload son los siguientes:

  • Archivos de Ofimática
  • PDF
  • RAR y ZIP
  • Archivos ejecutables
  • JavaScript

Captura de una campaña de spam vía correo electrónico
Imagen: proofpoint
Imagen
Sitio web con una carga potencial de RedLine
Imagen: 1ZRR4H – CronUp Ciberseguridad

Flujo de Infección

Por lo general, el proceso de ejecución es simple y directo. Según el análisis, el binario principal se inicia solo y el proceso principal se detiene. También puede eliminarse de otro binario o ser el propio binario principal. Cuando se crea un proceso secundario, comienza la principal actividad maliciosa de RedLine. Al tener ya sus procesos de infección terminados, el malware recopila información del sistema comprometido, como contraseñas guardadas en el navegador, datos del usuario y entre otros datos de relevancia para el atacante. Luego la envía al Command and Control. La información extraída de la maquina se envía generalmente en formatos no cifrados y codificados en base64.

Objetivos Geográficos de RedLine Stealer

Indicadores de Compromiso (IOCs)

SHA-256:

  • 8788930d5bf09c258af90bcf3f19f2c41cb4dabd93ef34d3b787cc564a23a9ee
  • 87f8199f30c9bd50654dd432ad94aedced4b2f81d67995a9b62afaee1aa3cbfb
  • 899863f4905401af16477a1ebbe593b05be6d25329db6c4ef294e872d6356bf8
  • 8c5b4b59158b3127968896014323173aeaf2160b5db535eeec8f1468208912f8
  • 8ca2148c028fa80f102a0366bb03f8de2ea6572b00c5bdb1842c3fc090bfe306
  • 8ef9d91092116117714033f25ca136675794e2e4a34d50ec5f3b7016fb7600d3
  • 8fa87a4b240ecb2c3b8aa82348e74296d945168a6c805b1f4db3a854232981ce
  • 8feda77ca3c3fa7bd352ac93efe10db631e428ea8079874f3248dbd1f84d05d1
  • 92855b88ec5535f833090b28434fd596cb3058af93582df0859b2b57a6a884d2
  • 92855b88ec5535f833090b28434fd596cb3058af93582df0859b2b57a6a884d2
  • 93c898e900b2f5b2df2eb45ea60f30735444c4bc40166bf6bb487c4846f525bc

Direcciones IPs (C2):

  • 2.56.56.126
  • 23.88.114.184
  • 185.215.113.29
  • 185.204.109.248
  • 94.140.115.160
  • 91.243.32.73
  • 103.246.144.29
  • 45.129.99.59
  • 193.150.103.37
  • 45.147.196.146
  • 176.57.69.96
  • 5.206.227.11
  • 185.215.113.48
  • 185.138.164.159
  • 82.202.167.202
  • 5.206.227.246
  • 185.215.113.29
  • 91.243.59.131
  • 185.215.113.70
  • 92.255.57.154
  • 185.215.113.83
  • 77.232.40.51
  • 192.168.100.168
  • 192.168.100.168
  • 93.114.128.188
  • 99.83.154.118
  • 46.8.153.20
  • 45.9.20.104
  • 193.56.146.64
  • 193.106.191.253
  • 185.198.164.33
  • 3.17.7.232
  • 5.206.227.11
  • 2.57.90.16
  • 185.215.113.115
  • 91.243.59.112
  • 91.243.59.18
  • 23.202.231.167
  • 91.243.59.21

Dominios:

  • disandillanne.xyz
  • jainestaynor.xyz
  • htagzdownload.pw
  • 192-168-100-87.abcdefghijklmnopqrstuvwxyz012345.plex.direct
  • isns.net
  • gianninidesign.com
  • krupskaya.com
  • m-onetrading-jp.com
  • majul.com
  • thuocnam.tk
  • psoeiras.net
  • www.thechiropractor.vegas
  • www.anderherzog.info
  • www.aqueouso.com
  • www.daniela.red
  • www.hempzone-cosmetic.com
  • www.rszkjx-vps-hosting.website
  • www.learnavstandards.com
  • www.collabasia.xyz
  • www.altshiftdel.com
  • www.kasikormbank.com
  • gonajah.com
  • fastklick.biz
  • stylesheet.faseaegasdfase.com
  • tg8.cllgxx.com
  • 360devtracking.com
  • baanrabiengfah.com
  • c9d0e790b353537889bd47a364f5acff43c11f244.xyz
  • api3.testrequest.info
  • stewei.s3.pl-waw.scw.cloud
  • ad-postback.biz
  • ad-storage.biz
  • vataeagene.xyz
  • b.dxyzgame.com
  • b.xyzgameb.com
  • c.xyzgamec.com
  • d.gogamed.com
  • c9d0e790b353537889bd47a364f5acff43c11f243.xyz
  • capitalfm997.com
  • curtainshare.su
  • datingmart.me
  • eurekabike.com
  • freshstart-upsolutions.me
  • glitterandsparkle.net
  • jangeamele.xyz
  • jggrmmojcc.com
  • online-stock-solutions.com
  • service-domain.xyz
  • webdeadshare24.me
  • gp.gamebuy768.com
  • ip.sexygame.jp
  • source3.boys4dayz.com

Más Información

https://asec.ahnlab.com/en/30445/

https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/

https://www.recordedfuture.com/shining-light-on-redline-stealer-malware/

https://resources.infosecinstitute.com/topic/redline-stealer-malware-full-analysis/

https://www.genbeta.com/genbeta/redline-stealer-malware-que-te-dara-razon-para-dejar-utilizar-gestor-contrasenas-tu-navegador

https://cyberint.com/blog/research/redline-stealer/

https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign

https://blog.cyble.com/2021/08/12/a-deep-dive-analysis-of-redline-stealer-malware/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required