RedLine Stealer (o simplemente RedLine) es un malware de tipo Troyano (RAT) que opera mediante la modalidad de «Malware-as-a-Service» (MaaS), es decir, un malware diseñado para ser comercializado como un servicio, permitiendo a todos aquellos interesados en adquirir RedLine en tener una gran de cantidad de acciones dentro de un equipo comprometido. Algo muy similar a XLoader, pero con la diferencia que todo se gestiona mediante una aplicación cliente, mientras que el servicio te ofrece la infraestructura de Command and Control. Los precios estimados dentro de los foros clandestinos son muy variados, debido a que existe una variante oficial y una «crackeada», cuyos valores son entre $100 USD (pago mensual) hasta $200 USD (Licencia de por vida), pero también se ha registrado que en algunos foros vendan versiones «crackeadas» a $300 USD e incluso, gratuitos.
El negocio de la adquisición de una licencia para utilizar RedLine se realiza mediante dos canales en Telegram. Donde se puede solicitar soporte, información del producto y el acceso para realizar el pago correspondiente.

Imagen: proofpoint
RedLine es conocido como un Stealer, un malware del tipo troyano, que se introducen a través de internet en una estación de trabajo con el propósito de obtener de forma fraudulenta información confidencial de la víctima, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.
RedLine Stealer no es un malware tan sofisticado como lo puede ser un ransomware. Tiene las características habituales típicas de esta familia. Sin embargo, este malware esta escrito en C#, y la calidad del código es lo suficientemente alta como para intuir que la persona detrás de RedLine es un programador muy experimentado. Los ciberdelincuentes también trabajan duro para darle nuevas actualizaciones al malware, convirtiéndolo principalmente en una gran herramienta para desplegar payloads y funciones de filtrar información avanzada.
Gracias a su simpleza, su bajo costo de licencia y factibilidad de operaciones, RedLine es uno de los malwares más usados por diferentes actores de amenazas para llevar a cabo sus operaciones en diferentes campañas de spam, sitios webs maliciosos, cracks y «herramientas» gratuitas por Internet.

Imagen: HP
También una de las formas de distribución más empleadas es mediante un archivo adjunto en portales de descargas anónimos como AnonFiles (y también vía Discord), utilizando campañas de spam denominadas como «Malvertising». El malvertising es el uso de la publicidad en línea para difundir programas maliciosos. Suele consistir en inyectar anuncios maliciosos o cargados de malware en redes publicitarias y páginas web legítimas.
🚨 Continúa campaña de #Malvertising desde el popular sitio @AnonFiles con descarga activa de #RedLine Malware.
— Germán Fernández 🇨🇱 (@1ZRR4H) December 29, 2021
+ Descarga tipo "segundo plano"
+ 17 dominios maliciosos.
+ Archivos con el mismo nombre del original.
+ Y protegidos con contraseña.
IOC: https://t.co/R9SH4lRAUa pic.twitter.com/cebFWge1E4
It appears that the operators of this #Redline campaign have taken control of this site now (WP compromised), everything is redirected to the "Flash Player" landing page, I don't see any #Emotet artifacts here (.php).
— Germán Fernández 🇨🇱 (@1ZRR4H) February 4, 2022
+ from 660 URLs, this is the only one that show this 🧐 pic.twitter.com/rS4UL6Sc3s
Características de RedLine Stealer
- Extraer las credenciales del dispositivo.
- Extraer las Cookies del navegador.
- Extraer las credenciales guardados en el navegador.
- Extraer información de los campos autocompletados.
- Identificar los componentes del sistema y el sistema de defensa implementada.
- Desplegar un Backdoor para establecer comunicación y acceso a la maquina.
- Implementar una extensión maliciosa en el navegador para registrar toda la información que la victima este agregando, como un Keylogger y la posibilidad de tomar screenshot sin que el usuario se entere.
- Robar Criptomonedas en diferentes Wallets.
- Obtener información de todos los navegadores que se encuentren basados en Chromium y Gecko.


Imagen: CronUp Ciberseguridad
Distribución de RedLine Stealer
RedLine Stealer usa múltiples vectores de ataque para llegar a la mayor cantidad de maquinas posibles. Por lo general, los atacantes no llevan a cabo métodos novedosos, sino que simplemente aplican una técnica ya clásica en los malwares de bajo y alto nivel, el uso de la ingeniería social mediante correo electrónico. Los cuales invitan a la victima en realizar una acción. Ya sea entrando a un enlace random y descargando un archivo o incluso en los mismos correos vienen con un adjunto. También se ha llegado a registrar falsas páginas de softwares, en sitios webs de cracks y en anuncios fraudulentos en Google, técnicas de spam llamadas Malvertising.
Algunos de los adjuntos más comunes con su payload son los siguientes:
- Archivos de Ofimática
- RAR y ZIP
- Archivos ejecutables
- JavaScript

Imagen: proofpoint
Imagen: 1ZRR4H – CronUp Ciberseguridad
Flujo de Infección
Por lo general, el proceso de ejecución es simple y directo. Según el análisis, el binario principal se inicia solo y el proceso principal se detiene. También puede eliminarse de otro binario o ser el propio binario principal. Cuando se crea un proceso secundario, comienza la principal actividad maliciosa de RedLine. Al tener ya sus procesos de infección terminados, el malware recopila información del sistema comprometido, como contraseñas guardadas en el navegador, datos del usuario y entre otros datos de relevancia para el atacante. Luego la envía al Command and Control. La información extraída de la maquina se envía generalmente en formatos no cifrados y codificados en base64.

Objetivos Geográficos de RedLine Stealer

Indicadores de Compromiso (IOCs)
SHA-256:
- 8788930d5bf09c258af90bcf3f19f2c41cb4dabd93ef34d3b787cc564a23a9ee
- 87f8199f30c9bd50654dd432ad94aedced4b2f81d67995a9b62afaee1aa3cbfb
- 899863f4905401af16477a1ebbe593b05be6d25329db6c4ef294e872d6356bf8
- 8c5b4b59158b3127968896014323173aeaf2160b5db535eeec8f1468208912f8
- 8ca2148c028fa80f102a0366bb03f8de2ea6572b00c5bdb1842c3fc090bfe306
- 8ef9d91092116117714033f25ca136675794e2e4a34d50ec5f3b7016fb7600d3
- 8fa87a4b240ecb2c3b8aa82348e74296d945168a6c805b1f4db3a854232981ce
- 8feda77ca3c3fa7bd352ac93efe10db631e428ea8079874f3248dbd1f84d05d1
- 92855b88ec5535f833090b28434fd596cb3058af93582df0859b2b57a6a884d2
- 92855b88ec5535f833090b28434fd596cb3058af93582df0859b2b57a6a884d2
- 93c898e900b2f5b2df2eb45ea60f30735444c4bc40166bf6bb487c4846f525bc
Direcciones IPs (C2):
- 2.56.56.126
- 23.88.114.184
- 185.215.113.29
- 185.204.109.248
- 94.140.115.160
- 91.243.32.73
- 103.246.144.29
- 45.129.99.59
- 193.150.103.37
- 45.147.196.146
- 176.57.69.96
- 5.206.227.11
- 185.215.113.48
- 185.138.164.159
- 82.202.167.202
- 5.206.227.246
- 185.215.113.29
- 91.243.59.131
- 185.215.113.70
- 92.255.57.154
- 185.215.113.83
- 77.232.40.51
- 192.168.100.168
- 192.168.100.168
- 93.114.128.188
- 99.83.154.118
- 46.8.153.20
- 45.9.20.104
- 193.56.146.64
- 193.106.191.253
- 185.198.164.33
- 3.17.7.232
- 5.206.227.11
- 2.57.90.16
- 185.215.113.115
- 91.243.59.112
- 91.243.59.18
- 23.202.231.167
- 91.243.59.21
Dominios:
- disandillanne.xyz
- jainestaynor.xyz
- htagzdownload.pw
- 192-168-100-87.abcdefghijklmnopqrstuvwxyz012345.plex.direct
- isns.net
- gianninidesign.com
- krupskaya.com
- m-onetrading-jp.com
- majul.com
- thuocnam.tk
- psoeiras.net
- www.thechiropractor.vegas
- www.anderherzog.info
- www.aqueouso.com
- www.daniela.red
- www.hempzone-cosmetic.com
- www.rszkjx-vps-hosting.website
- www.learnavstandards.com
- www.collabasia.xyz
- www.altshiftdel.com
- www.kasikormbank.com
- gonajah.com
- fastklick.biz
- stylesheet.faseaegasdfase.com
- tg8.cllgxx.com
- 360devtracking.com
- baanrabiengfah.com
- c9d0e790b353537889bd47a364f5acff43c11f244.xyz
- api3.testrequest.info
- stewei.s3.pl-waw.scw.cloud
- ad-postback.biz
- ad-storage.biz
- vataeagene.xyz
- b.dxyzgame.com
- b.xyzgameb.com
- c.xyzgamec.com
- d.gogamed.com
- c9d0e790b353537889bd47a364f5acff43c11f243.xyz
- capitalfm997.com
- curtainshare.su
- datingmart.me
- eurekabike.com
- freshstart-upsolutions.me
- glitterandsparkle.net
- jangeamele.xyz
- jggrmmojcc.com
- online-stock-solutions.com
- service-domain.xyz
- webdeadshare24.me
- gp.gamebuy768.com
- ip.sexygame.jp
- source3.boys4dayz.com
Más Información
https://asec.ahnlab.com/en/30445/
https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/
https://www.recordedfuture.com/shining-light-on-redline-stealer-malware/
https://resources.infosecinstitute.com/topic/redline-stealer-malware-full-analysis/
https://cyberint.com/blog/research/redline-stealer/
https://blog.cyble.com/2021/08/12/a-deep-dive-analysis-of-redline-stealer-malware/

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.