RedLine Stealer – Cos’è il malware RedLine?

RedLine Stealer - What is RedLine Malware?
RedLine Stealer, RedLine malware, Stealer malware
Written by Brendan Smith

RedLine Stealer è un programma dannoso che mira a rubare informazioni personali varie dal sistema infetto. Può essere diffuso come malware autonomo, così come insieme ad altre applicazioni maligne. Questo malware è un esempio di un banking stealer. Tuttavia, può anche scavare in diversi browser per prendere varie altre categorie di informazioni.

Che cos’è il malware stealer?

Stealer è un tipo di malware che mira a rubare alcuni tipi di dati dal computer infetto. Questa classe di malware viene a volte confusa con gli spyware, tuttavia questi ultimi prendono tutto ciò che possono dal sistema. Nel frattempo, alcuni stealers possono cercare anche file specifici o file di un certo formato – ad esempio, i progetti AutoCAD o Maya. Ciò li rende più efficaci, tuttavia richiedono maggiori competenze e controllo per avere successo.

Gli stealers cercano di essere il più stealth possibile poiché la loro efficienza dipende pesantemente dal tempo che rimangono nel sistema senza essere rilevati. Certi campioni eseguono le loro operazioni di base e poi si autodistruggono. Ma ci sono anche quelli che continuano a funzionare a meno che non siano rilevati o ci sia un comando di autodistruzione dal server C&C.

Funzionalità RedLine Stealer

RedLine Stealer agisce generalmente come un banking stealer, poiché il suo obiettivo principale sono le credenziali bancarie salvate nei browser web. Per soddisfare questa esigenza, RedLine ha la capacità di scavare in profondità in qualsiasi browser – sia Chromium, Gecko-based, e altri. Ma oltre ai dati bancari, raccoglie anche cookie e password memorizzate nel browser. Tuttavia, non molti browser popolari conservano quest’ultime in forma di testo semplice, quindi si tratta di attaccare gli utenti di app alternative.

RedLine Stealer admin panel

Pannello amministrativo di RedLine Stealer

Tuttavia, i browser web non sono l’unica fonte di informazioni per questo stealer. Insieme ad essi, il malware RedLine scansiona il dispositivo alla ricerca di varie app, come Telegram, Discord e Steam. Inoltre, mira a rubare le credenziali per connessioni FTP/SCP e VPN. Il suo codice, recuperato tramite reverse engineering, mostra anche la sua capacità di scansionare i portafogli criptati e poi rubare le loro informazioni.

Alla fine della procedura, RedLine raccoglie informazioni dettagliate sul sistema – versione del sistema operativo, hardware installato, lista del software, indirizzo IP, e così via. Quindi, l’intero pacchetto di informazioni raccolte viene memorizzato nella cartella ScanResult. Quest’ultima viene creata nella stessa directory del file eseguibile dello stealer.

Analisi tecnica RedLine

Dopo aver raggiunto la macchina di destinazione, il malware RedLine lancia un singolo processo – Trick.exe – e un’unica istanza di una finestra della console. Poco dopo, stabilisce una connessione con il server di comando e controllo all’indirizzo di newlife957[.]duckdns[.]org[:]7225. Vale la pena notare che il codice iniziale contiene funzioni piuttosto legittime – probabilmente prese da un programma reale. Il contenuto maligno viene scaricato dinamicamente attraverso la funzionalità del codice iniziale. Questo trucco viene utilizzato per guadagnare del tempo per disabilitare le soluzioni anti-malware all’interno del sistema dopo l’accesso iniziale.

TicTacToe RedLine

Riferimenti al TicTacToe nel codice RedLine

Quando il payload maligno è installato, la prima cosa che fa il malware è verificare l’indirizzo IP del PC. Per questo scopo, utilizza il sito api[.]ip[.]sb. Se non ci sono conflitti con le sue blacklist interne – paesi e indirizzi IP che non sono autorizzati a lanciare – il malware procede ad ulteriori operazioni. RedLine inizia la scansione dell’ambiente passo dopo passo, seguendo l’elenco che riceve dopo la configurazione.

Scanning sequence Redline stealer

Sequenza di scansione degli elementi da rubare sul PC infetto

Poi, forma un file di registro che contiene le informazioni estratte dal sistema attaccato. Non è possibile vedere tutti i dettagli, poiché il malware crittografa i dati durante la fase di estrazione dei dati. Tuttavia, i tipi di dati sono chiaramente visibili, quindi è possibile prevedere ciò che questo malware condivide con i criminali informatici.

Tipi di dati raccolti da RedLine Stealer

Nome della funzioneDescrizione
ScannedBrowserNome del browser, profilo utente, credenziali di accesso e cookie
FtpConnectionsDettagli sulle connessioni FTP presenti sul computer di destinazione
GameChatFilesFile di chat in-game relativi a qualsiasi gioco trovato
GameLauncherFilesL’elenco dei lanciatori di giochi installati
InstalledBrowsersElenco dei browser installati
MessageClientFilesFile dei client di messaggistica presenti sul computer di destinazione
CityCittà rilevata
CountryPaese rilevato
File LocationIl percorso in cui viene eseguito il file .exe del malware
HardwareInformazioni sull’hardware installato
IPv4Indirizzo IP pubblico IPv4 del PC vittima
LanguageLingua del sistema operativo
ScannedFilesPossibili file di valore trovati nel sistema
ScreenSizeRisoluzione dello schermo del sistema di destinazione
Nome della funzioneDescrizione
ScannedWalletsInformazioni sui portafogli presenti nel sistema
SecurityUtilsElenco e stato di tutti i programmi antivirus rilevati
AvailableLanguagesLingue, supportate dalla versione del sistema operativo sul PC di destinazione
MachineNameNome della macchina di destinazione
MonitorL’immagine della schermata al momento dell’esecuzione
OSVersionInformazioni sulla versione del sistema operativo
NordCredenziali per NordVPN
OpenCredenziali per OpenVPN
ProcessesElenco dei processi in esecuzione nel sistema
SeenBeforeVerificare se la segnalazione riguarda una nuova vittima o una vittima già attaccata in precedenza.
TimeZoneFuso orario del computer attaccato
ZipCodeCodice postale della vittima
SoftwaresElenco dei programmi installati sul PC attaccato
SystemHardwaresDettagli sulla configurazione del PC

Diverse ricerche dimostrano che RedLine non è completamente compatibile con i browser che attacca. La maggiore efficienza si osserva in Chrome, Opera, i browser Chromium e Chromodo. Tra le app basate su altri motori diversi da Chromium c’è il browser cinese 360Browser basato su WebKit. Anche i browser web basati sul motore Gecko – Firefox, Waterfox, e così via – sono vulnerabili, ma lo stealer talvolta ha problemi nell’estrazione dei dati da essi.

RedLine malware si orienta verso un permanenza a lungo termine nel sistema. Molte stealer hanno una funzionalità di auto-rimozione una volta che non ci sono più dati da rubare. Nel frattempo, questa stealer offre un meccanismo simile a uno spyware: un operatore può ordinarne l’auto-distruzione, ma non ci sono timer interni.

IoC di RedLine Stealer

IndicatoreTipoDescrizione
newlife957[.]duckdns[.]org[:]7225URLC2 URL
1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348HashSHA-256 hash – mascheramento (non rilevato)
ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784bHashhash SHA-256 della parte di malware
9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430fHashhash SHA-256 della parte di malware
76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1bHashhash SHA-256 della parte di malware
258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463Hashhash SHA-256 di system info grabber

Individuate varianti di RedLine diffuse in natura

Distribuzione del rubinetto RedLine

Come ho già detto, RedLine Stealer può essere fornito come malware solitario, così come in un pacchetto con altri virus. La sua attività è cresciuta rapidamente negli ultimi tempi, poiché è conveniente per i truffatori e può essere facilmente acquistato anche nel web di superficie. Ad esempio, i suoi sviluppatori hanno un gruppo in Telegram messenger, dove questo malware viene offerto con diversi tipi di abbonamento. Poiché il ladro ha funzionalità eccezionali, queste offerte non si esauriscono mai.

Redline bot telegram

Bot di marketing RedLine in Telegram Messenger

In forma stand-alone, RedLine Stealer viene di solito diffuso attraverso phishing via email. In alternativa, può essere mascherato come file di installazione di alcuni programmi popolari, come Discord, Telegram, Steam e applicazioni cracked. In un caso specifico, RedLine si presentava come un’estensione del browser e il link per il download era inserito nella descrizione di un video YouTube. Tuttavia, i messaggi di posta elettronica di phishing rimangono le forme più potenti e popolari di distribuzione di malware – e RedLine Stealer non fa eccezione.

The example of a typical fraudulent email

L’esempio di una tipica e-mail di phishing

Per quanto riguarda la diffusione di malware insieme ad altri, RedLine viene spesso associato a diversi campioni di ransomware. Tuttavia, la maggior parte della diffusione in bundle avviene dopo la combinazione di RedLine con il ransomware Djvu. In realtà, questo ransomware non presenta solo questo stealer, ma anche altri 2 malware: il backdoor SmokeLoader e il Vidar stealer. Tale pacchetto può portar via ogni pezzo di dato prezioso e inundare il computer con altro malware. E non dimenticare il ransomware, che creerà già un disordine nei tuoi file.

Che cos’è il ransomware Djvu?

Il ransomware STOP/Djvu è un notevole esempio di un gruppo criminale informatico a lunga vita, che terrorizza principalmente i singoli individui. Hanno rapidamente conquistato una posizione dominante sul mercato del ransomware, raggiungendo oltre il 75% delle sottomissioni totali di ransomware in un certo periodo di tempo. Oggi ha perso molto del suo slancio ma rimane tanto pericoloso quanto prima. Il malware aggiuntivo che porta al dispositivo dell’utente è probabilmente necessario per compensare la diminuzione del numero di nuove vittime. In precedenza, utilizzavano Azorult stealer, ma poi sono passati al malware che abbiamo menzionato in precedenza.

Come rimanere protetti?

Conoscere le modalità di diffusione fornisce ottime istruzioni per prevenirla. I metodi di contrasto dello spam via e-mail sono ben noti e presentano una grande varietà di approcci possibili. Lo stesso vale per la diffusione di malware sotto le mentite spoglie di un’applicazione legittima. I metodi che presentano modalità uniche e occasionali sono i più difficili da evitare, ma è comunque possibile.

Le email di spam possono essere facilmente distinte dai messaggi genuini. Quasi ogni messaggio sospetto cerca di imitare la vera azienda o un mittente a te familiare. Tuttavia, non può contraffare l’indirizzo del mittente, così come prevedere se stai aspettando quella lettera. In realtà, possono conoscere le email che potresti ricevere attraverso il phishing preliminare, ma questa situazione è abbastanza rara. Quindi, se ricevi una strana lettera che non dovresti ricevere con un indirizzo insolito del suo mittente, significa che qualcuno cerca di fregarti. Se l’informazione ti sembra convincente, è meglio verificare manualmente le cose.

Email spam example

Il tipico esempio di e-mail esca. Il file allegato contiene malware

I falsi installatori di app non richiedono molta attenzione ma devono essere seguiti le regole. Ad esempio, questi falsi sono spesso diffusi nelle comunità online, come Discord o Reddit. Utilizzarli è rischioso, specialmente se puoi ottenere lo stesso installatore dal sito ufficiale gratuitamente. Quando si tratta di programmi crackati, è una cosa che dovresti ricordare – nulla è gratuito sotto il sole. Anche se la crack sembra legittima e sei sicuro del mittente, è meglio controllare quel file con un software anti-malware. C’è una grande tentazione di monetizzare la crack di un’applicazione aggiungendo malware – gli hacker violano comunque la legge. Un’altra soluzione è utilizzare copie genuine del software – a pagamento e scaricate dal sito web del venditore.

Discord virus

L’esempio del malware che si diffonde attraverso Discord

I modi difficili sono quasi impossibili da prevedere e da rilevare in modo proattivo. Tuttavia, i file e le estensioni non si avviano automaticamente. Quando si nota una situazione di cui non si è sicuri, la decisione migliore è quella di avviare una scansione completa con una potente soluzione di sicurezza. Se dotata di un sistema di scansione moderno, individuerà sicuramente attività insolite non visibili all’occhio umano.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

Inglese Tedesco Giapponese Spagnolo Portoghese, Brasile Francese Turco Cinese tradizionale Coreano Indonesiano Hindi

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending