L'ANALISI TECNICA

RedLine Stealer, il malware che ruba credenziali, dati bancari e criptovalute: le tecniche di attacco

RedLine Stealer è, ad oggi, uno dei malware infostealer più popolari nell’underground digitale: una minaccia in continua evoluzione in quanto presenta rilasci frequenti e abbastanza mirati alle necessità della comunità criminale. Ecco un’analisi delle sue tecniche di intelligence e diffusione

13 Apr 2022
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

RedLine o, nella versione completa, RedLine Stealer, è un malware progettato per raccogliere dati ed informazioni presenti nei sistemi che colpisce e per permettere il download e l’esecuzione di ulteriori payload malevoli.

A partire dal suo primo rilascio (avvenuto, in accordo ai primi post promozionali all’interno di un DDW forum, verso metà febbraio 2020), RedLine Stealer ha causato vittime in molteplici ambiti e settori portando a perdite finanziarie e di informazioni a scapito sia di realtà private che pubbliche.

Formalmente esso si posiziona nella categoria degli “infostealer” in quanto in grado di raccogliere informazioni da browser di navigazione, sistemi di messaggistica istantanea e software usati per il trasferimento di file.

L’obiettivo primario delle campagne che vedono RedLine come impianto malware è quasi sempre l’acquisizione di credenziali di accesso a servizi privati e/o aziendali, informazioni sulle carte di credito, cookie di sessione attivi e dati inerenti portafogli di criptovalute.

Di base esso agisce similarmente ad altri malware simili avendo la possibilità di carica e scaricare ulteriori tool e malware, eseguire comandi arbitrari e monitorare quanto in esecuzione nel contesto dei sistemi vittima.

Non è insolito osservare RedLine come precursore di attacchi ransomware. Per quanto riguarda la politica dei prezzi, le licenze d’uso possono essere acquistate su forum DDW con un investimento che parte da 100 dollari al mese per la versione standard fino a 200 dollari al mese per la PRO, passando per la LITE proposta a 150 dollari al mese.

Le caratteristiche tecniche di RedLine Stealer

RedLine Stealer non è un malware particolarmente sofisticato. Presenta caratteristiche comuni a molti malware che fanno parte della sua categoria e non mostra particolari doti di furtività se prendiamo in considerazione il payload standard.

WHITEPAPER
In 5 step ecco come migliorare i processi di CONTABILITA'
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni

Tuttavia, alcune particolarità e caratteristiche del codice fanno pensare che dietro di esso ci sia uno sviluppatore esperto. Inoltre, è altresì importante notare che RedLine Stealer viene costantemente aggiornato in termini di funzionalità e caratteristiche.

Durante l’esecuzione fa affidamento su parametri di configurazione specificati in fase di build e che presentano, all’estrazione, un formato simile al seguente:

Immagine che contiene testoDescrizione generata automaticamente

In genere, il processo di esecuzione è piuttosto basilare e vede l’eseguibile principale lanciare se stesso mentre il processo padre interrompe l’esecuzione.

Quando tutte le informazioni di interesse vengono acquisite, RedLine solitamente interrompe l’esecuzione. Le informazioni acquisite possono essere inviate sia totalmente in chiaro che in formato codificato in Base64.

Intelligence e diffusione di RedLine Infostealer

Il primo post promozionale relativo al malware RedLine risale al 19 febbraio 2020 in un forum DDW chiuso da parte dell’utente REDGlade.

Immagine che contiene testoDescrizione generata automaticamente

Tale post riporta tuttora le caratteristiche principali del malware e chiarifica l’attenzione dei suoi sviluppatori verso il mondo del carding. Di seguito il testo del post, in originale lingua russa, che ne va a specificare le caratteristiche peculiari:

Immagine che contiene testoDescrizione generata automaticamente

L’autore specifica, inoltre, un canale di supporto Telegram mediante il quale è possibile chiedere informazioni sul prodotto, provvedere direttamente all’acquisto e rimanere aggiornati sugli ultimi rilasci.

Immagine che contiene testoDescrizione generata automaticamente

Le attività del malware in Italia

In accordo ai dati telemetrici acquisiti e lavorati dal gruppo di ricerca Cluster25, in Italia le infezioni riconducibili a varianti RedLine nell’ultimo anno hanno superato le diecimila unità, con la maggior parte delle vittime ricomprese nel settore privato.

Non mancano, tuttavia, vittime ricomprese nella pubblica amministrazione, anche centrale, e grandi realtà operanti nei settori farmaceutico ed intrattenimento.

Per quanto riguarda i metodi di diffusione essi sono piuttosto standard: campagne malspam, compromissione di e-mail aziendali, aggiornamenti fasulli, annunci indicizzati da motori di ricerca con allegati o collegamenti dannosi.

I formati vettore maggiormente utilizzati sono i seguenti:

  1. Archives
  2. Office
  3. PDF
  4. Executable files
  5. JavaScript

Conclusioni

RedLine Stealer è, ad oggi, uno dei malware infostealer maggiormente popolari nell’underground digitale.

La sua popolarità è così vasta che i dati di log da esso prodotti a partire dalle migliaia di infezioni attive costituiscono oggi un vero e proprio mercato parallelo in molti forum DDW dove possono arrivare ad essere venduti, in base alle dimensioni, anche per decine di migliaia di dollari.

RedLine Stealer è una minaccia in continua evoluzione in quanto presenta rilasci frequenti e abbastanza mirati alle necessità della comunità criminale.

È spesso associato a packer e crypter utili per abbassare i ratei di rilevamento dei vari motori antivirali.

WHITEPAPER
Le fasi del mining: stabilire un obiettivo e la criptovaluta. Scopri di più
Blockchain
Criptovalute
@RIPRODUZIONE RISERVATA

Articolo 1 di 4