¿Qué es RedLine Stealer?
April 30, 2023
RedLine es un malware stealer que tiene como objetivo principal las credenciales bancarias, pero que también es capaz de extraer otra información. Su enfoque clave es piratear los navegadores web de las víctimas para recopilar información de cuenta, datos de AutoFill y cualquier otra cosa valiosa que pueda estar ubicada allí. Los controles convenientes junto con características de detección y análisis incorporadas lo hicieron uno de los stealers más populares y prolíficos presentes en el mercado. Otra cosa notable con respecto a RedLine Stealer son sus formas de propagación que difieren de la propagación regular a través de correo no deseado.
Muestras de RedLine Stealer
Las primeras menciones de este malware datan de principios de 2020, pero el primer pico notable de actividad ocurrió medio año después. Se propaga bajo el modelo de Malware-as-a-service, principalmente a través de anuncios en grupos de Telegram. Los planes de suscripción varían desde $100 por una semana hasta $800 por una "licencia" de por vida para RedLine. Se proporciona una muestra junto con un "crypter" -un software específico utilizado para cifrar la muestra de malware antes de desplegarla. Este procedimiento disminuye la posibilidad de detección y complica los intentos de análisis.
La propagación de RedLine Stealer
Como se mencionó anteriormente, RedLine Stealer aplica algunas formas únicas de autopropagación, diferentes de las consideradas habituales en la actualidad. El correo electrónico no solicitado es efectivo y económico, pero llama demasiado la atención. Los delincuentes que difunden este malware tienen sus propias opciones, a pesar de aplicar el spam en ciertos casos. Y parece que han perfeccionado sus enfoques lo suficiente como para superar a todos los competidores.
Spam en redes sociales
Las cuentas de redes sociales, especialmente las que pertenecen a celebridades u organizaciones conocidas, son generalmente confiables para sus suscriptores. Facebook, Twitter, Instagram: cualquier red social accesible desde la PC servirá, el punto clave es encontrar cuentas que tengan la mayor confianza. La ingeniería social, o la inyección previa de malware, proporciona a los hackers las credenciales de la cuenta y aquí comienza el espectáculo.
Los delincuentes que utilizan este método para propagar RedLine raramente caen en el spam obvio que puede ser fácilmente reconocido. En su lugar, intentan parecer lo suficientemente convincentes con pancartas que incluyen detalles sobre la organización o persona, y están relacionadas con su negocio habitual. Por ejemplo, utilizando la cuenta de un proveedor de servicios de Internet, los hackers hicieron una publicación con un enlace que llevaba a la descarga de RedLine Stealer, que promovía software gratuito de Adobe. Es algo que las personas pueden esperar de un proveedor y apreciarán tal cuidado por sus clientes, y así comerán el cebo.
Malware dropper
El dropper, o descargador, es un tipo de malware utilizado para entregar otro malware al equipo infectado. Amplias redes de computadoras que ejecutan un dropper se ofrecen ampliamente en la Darknet, por lo que cualquiera puede pagar por cargar su malware en estos PCs. Los maestros de RedLine no desprecian este método de propagación, ya que ha demostrado ser bastante eficiente. Los problemas pueden aparecer si la red ya está "usada", es decir, si ya se entregó una gran cantidad de otro malware, y es probable que la mayor parte de la información valiosa ya haya sido extraída.
RedLine Stealer se aplica a veces como carga útil "instantánea" de droppers. Esto ocurre cuando los hackers buscan ingresar al sistema de la manera más sigilosa posible, y luego, después de obtener acceso inicial, despliegan su propia línea de programas maliciosos. Esto ocurre típicamente con el backdoor SmokeLoader, que a su vez se entrega a menudo junto con el ransomware STOP/Djvu. Además, las muestras de este malware entregadas por un dropper son seriamente distintas de las entregadas de otra manera.
Malvertising en Google Search
Google se considera una plataforma de publicidad confiable, donde tanto los usuarios como los anunciantes pueden estar seguros de lo que ven y hacen clic. Pero como dice el refrán, nunca digas nunca. Eventos recientes con un flujo masivo de anuncios maliciosos en los resultados de búsqueda de Google se convirtieron en un método muy potente de propagación de malware. Este no es el primer caso en que algo malicioso se desliza en los anuncios de Google, pero la escala del caso actual es sin precedentes. Con más frecuencia, estos sitios replican los sitios web de desarrolladores de software gratuito o las páginas oficiales para descargar algún software auxiliar, como controladores o kits de herramientas.
En este caso, el malware está enmascarado como un paquete de software legítimo - un archivo ZIP. El nombre del archivo se asemeja a lo que se supone que la víctima descargará, haciéndola bajar la guardia. Al mismo tiempo, la muestra dentro de este archivo está llena de secciones nulas, por lo que superará el límite de tamaño de ciertos sandboxes y software anti-malware. Sin embargo, conserva toda la funcionalidad de una muestra regular de RedLine Stealer y está lista para causar estragos como de costumbre después de la descompresión.
Análisis de RedLine Stealer
En primer lugar, echemos un vistazo a la forma en que RedLine se desenvuelve después de ser entregado al sistema objetivo. Anteriormente mencionamos el "criptor", utilizado para proteger las cadenas de malware antes de que sean lanzadas. Junto con la ofuscación y el empaquetado único para cada muestra, esta herramienta de cifrado hace que la muestra sea bastante difícil de detectar, a pesar de la relativa facilidad de su análisis. Al estar basado en C#, RedLine no es muy complicado para las herramientas de ingeniería inversa, por lo que revertir el trabajo del compilador y ver el código no es una tarea difícil.
Una característica distintiva de RedLine en comparación con otros malware es la forma en que llega. Es un archivo binario que contiene una amplia selección de código basura, que confunde la detección anti-malware. La carga real está contenida en un archivo .cab, cifrado con RC4 y colocado entre la sección de un binario mencionado. Tres archivos de este archivo son la carga real, el script que la ejecuta y un script. Este último comprueba el entorno en busca de la presencia de procesos en ejecución de software anti-malware. Primero de otras cosas, este script se lanza y si detecta la presencia de programas anti-malware definidos, la ejecución posterior se cancela. Pero cuando la comprobación se realiza sin problemas, simplemente pasa la ejecución a una carga útil real.
Para ejecutarse, el malware se apoya en un cargador; las últimas versiones de RedLine Stealer utilizan un script de AutoIt adjunto al paquete principal, pero nada impide que use cualquier otra variante de código de shell. Este script ofuscado es necesario para descifrar cadenas de malware, crear facilidades para una mayor ejecución de malware y hacer que se ejecute la carga útil. Para almacenar todos los contenidos del archivo .cab que mencionamos anteriormente, crea una carpeta en el directorio Usuarios/Temp. También copia una biblioteca ntdll.dll, la renombra y la agrega a esta carpeta; todas las llamadas posteriores a esta biblioteca se dirigirán a esta instancia en lugar de a la original. Esto, muy probablemente, es otra medida anti-detección - las soluciones EDR a menudo verifican las llamadas a las bibliotecas del sistema.
El establecimiento de persistencia en el entorno atacado se hace con el uso del Programador de tareas. Además de eso, RedLine Stealer crea otra carpeta en el directorio Temp, que se necesita para almacenar el script de carga de malware (el que describimos anteriormente). Usando la línea de comandos, el malware crea una tarea para ejecutar este script cada 3 minutos.
Propagación a través del malware de descarga
La mayor parte del tiempo, RedLine Stealer aparece como un malware independiente, y esto dicta la forma de lanzamiento que describimos anteriormente. Sin embargo, en los ataques a objetivos avanzados, como organizaciones, es más común el uso de descargadores, cuya furtividad es una opción mucho mejor para entornos bien protegidos. Esto, a su vez, cambia la cadena de acciones que preceden a la ejecución del malware. La mayoría de los cambios se concentran en el hecho de que RedLine se entrega sin partes "enmascaradoras" excesivas del archivo binario. Sin embargo, la encriptación profunda recomendada por los desarrolladores de malware es suficiente para evitar la detección con esta forma de propagación.
Después de infiltrarse en el sistema infectado y lanzarse, se inicia un shellcode. Su propósito común es descifrar RedLine Stealer y ocultarlo en un proceso del sistema para hacerlo sigiloso. Usando una clave de cifrado XTEA incrustada, descifra el DLL que en realidad es un malware en forma de ensamblado .NET. Para colocar las cadenas descifradas y descomprimidas, RedLine asigna un área de memoria utilizando la función VirtualAlloc, y la asegura con el privilegio PAGE_EXECUTE_READWRITE.
En la siguiente etapa, se pasa la ejecución a otra parte del binario que realiza verificaciones anti-análisis. Pero en lugar de la enumeración de procesos más habitual y la búsqueda de aquellos que corresponden a sandboxes o máquinas virtuales, verifica valores específicos del entorno y ejecuta DLL. Si la variable Cor_Enable_profiling es verdadera (es decir, 0x1), el malware omitirá cualquier otra ejecución. Lo mismo se hace si hay clrjit.dll o mscorjit.dll - bibliotecas utilizadas en procedimientos de depuración del Framework .NET.
Si se pasan las verificaciones, el malware procede con la carga de la parte principal de su ensamblado desde la sección de Recursos. Para llamar a la nueva instancia del Framework .NET, el malware juega con mscoree.dll, en realidad, con su función CLRCreateInstance. Después de eso, RedLine Stealer termina el proceso de desencriptación llamando a la función Assembly.Load.
Comunicación con C2
En ambos casos, lo primero que hace RedLine después de ser desempaquetado y lanzado es intentar comunicarse con el servidor de comando y control. Sin embargo, justo antes de eso, también realiza una comprobación de región. Si la dirección IP detectada del dispositivo infectado pertenece a un país ex-URSS, el malware cancela la ejecución. Este es un comportamiento bastante típico para el malware cuyos desarrolladores viven en estos países. Se ha registrado el mismo comportamiento en el malware SmokeLoader, que detiene la ejecución si se detecta una región prohibida. La lista de regiones está codificada en el software, por lo que no es posible cambiar las preferencias sin tener acceso al código fuente.
El paquete de datos que se encarga de comunicarse con el servidor de comando está codificado en el malware y usa el mismo cifrado RC4 y codificación Base64 que el resto de la muestra. Contiene información de la dirección IP y el ID del bot. Una muestra puede llevar numerosas direcciones IP y puertos de servidores de comando, pero la mayoría de las veces solo se presenta una dirección.
El mensaje inicial solo es necesario para notificar al C2 acerca de un nuevo ordenador infectado, por lo que contiene solo un ID del bot y un mensaje de texto corto. Este último suele estar en blanco, pero puede contener algo distintivo para agrupar los bots u otras funciones. Después del mensaje inicial, se presenta una solicitud HTTP GET que solicita la información de configuración. Esta define qué funciones utilizará el malware en el sistema infectado.
Para escanear los directorios, el malware recibe archivos de configuración adicionales que contienen información sobre las rutas y los tipos/nombres de archivo para buscar. Para enviar los datos de vuelta al servidor, el malware utiliza solicitudes HTTP POST con un marcador de ID específico en el encabezado del mensaje. Este número puede variar de 1 a 24; cada uno de ellos corresponde a un tipo de datos específico. El malware forma y envía automáticamente la solicitud POST después de extraer el tipo de datos específico.
Robo de datos de RedLine
La primera y más importante capacidad del RedLine Stealer es la exploración del entorno en el que se está ejecutando. No se trata de trucos de anti-detección y anti-análisis, sino de tener una huella completa de un sistema. El malware es capaz de realizar esta acción incluso cuando recibe una configuración en blanco del C2, es decir, es su funcionalidad básica.
- Zona horaria
- Idiomas
- Información de hardware
- Nombre de usuario
- Versión y compilación de Windows
- Captura de pantalla
- Navegadores instalados
- Software antivirus instalado
- Procesos actualmente en ejecución
Sin embargo, utilizando configuraciones, RedLine Stealer puede obtener una gama mucho más amplia de datos, incluidas contraseñas de diferentes categorías, números de tarjetas bancarias y billeteras de criptomonedas, y también datos de navegadores web y varias aplicaciones de escritorio específicas. Echemos un vistazo a cada fuente de datos.
Navegadores web
RedLine puede entrar en numerosos navegadores web, desde los más populares, como Chrome, Opera y Firefox, hasta alternativas basadas en Chromium y Quantum. Los puntos clave de interés se dividen en datos dentro del navegador y datos de complementos relacionados con billeteras de criptomonedas. El stealer puede tomar contraseñas guardadas y datos de tarjetas de crédito de formularios de autocompletar. De hecho, puede obtener lo que encuentre en autocompletar, ya que esta es su principal forma de robar datos de navegadores. Otra cosa que busca RedLine Stealer en los navegadores web son las cookies. Dependiendo de la forma en que el navegador almacena las cookies (es decir, como un archivo cifrado o dentro de una base de datos SQL), el malware también puede extraerlas.
Las extensiones del navegador son un poco diferentes. El malware trae una lista extensa de extensiones que se utilizan para administrar billeteras de criptomonedas importantes. El malware escanea los archivos del navegador web para localizar algunas de ellas. Luego, extrae los datos relacionados con todas las coincidencias (o los omite si no se encuentra ninguna). Específicamente apunta a las contraseñas y cookies relacionadas con estas extensiones, copiando todo lo que encuentra en su carpeta de archivos. La lista de billeteras a las que apunta es la siguiente:
| Metamask | EqualWallet | MathWallet |
| Coinbase | BinanceChain | BraveWallet |
| GuardaWallet | YoroiWallet | Tronlink |
| NiftyWallet | JaxxxLiberty | Phantom |
| Oxygen | MewCx | GuildWallet |
| SaturnWallet | RoninWallet | TerraStation |
| HarmonyWallet | Coin98Wallet | PaliWallet |
| BoltX | BitAppWallet | NamiWallet |
| MaiarDeFiWallet | Authenticator | iWallet |
| Wombat | AtomicWallet | TonCrystal |
| KardiaChain | LiqualityWallet | XdefiWallet |
Aplicaciones de escritorio
Hay 3 programas de escritorio a los que RedLine Stealer presta atención específica. Estos son Discord, Steam y Telegram Messenger. El objetivo principal es el secuestro de sesiones y el robo de archivos relacionados con las sesiones (en Telegram). Los dos primeros tienen una forma similar de gestión de sesiones, basada en tokens. Al atacarlos, el malware va a sus directorios en AppData\Roaming y busca a través de sus archivos en busca de tokens de sesión. El malware conoce el patrón de nomenclatura utilizado tanto por Steam como por Discord, y busca específicamente los archivos que encajan con esta convención de nombres.
Telegram tiene un mecanismo de gestión de sesiones diferente, que no permite el mismo truco. Por esa razón, RedLine Stealer solo captura todos los archivos posibles relacionados con la sesión del usuario, almacenados en la carpeta AppData\Telegram Desktop\tdata.
Aplicaciones VPN y FTP
RedLine es capaz de robar credenciales de inicio de sesión de varios servicios de VPN y aplicaciones FTP. Estos son OpenVPN, NordVPN, ProtonVPN y FileZilla. Para las VPN, simplemente busca archivos de configuración en los directorios de usuario. Por ejemplo, para obtener los datos de los usuarios en NordVPN, busca en su directorio - AppData\Local\NordVPN - y busca archivos .config. En estos archivos, busca nodos "//setting / value".
OpenVPN y ProtonVPN difieren solo en sus rutas de directorio y extensiones de archivos de configuración (.ovpn para OpenVPN). Los datos de inicio de sesión de FTP se roban a través del análisis de los archivos de configuración correspondientes en el directorio raíz. Para FileZilla son recentservers.xml y sitemanager.xml.
Archivos y carpetas específicos
Además de las categorías de datos predefinidas, RedLine Stealer es capaz de obtener cualquier archivo si su maestro lo ordena. Acepta la búsqueda de archivos de formatos y nombres específicos; el maestro también puede pedirle al malware que obtenga todo el contenido de un directorio con un nombre específico. Esta función puede ser útil durante ataques dirigidos, cuando el actor amenaza sabe que podría haber archivos valiosos (planos, informes, etc.), pero van más allá de las capacidades de los módulos que apuntan a datos de cuentas de usuario.
Protección contra RedLine
Como cualquier otro malware avanzado, es mejor evitar que aparezca RedLine en absoluto, en lugar de prepararse para reparar el sistema después del ataque. Estos métodos proactivos se basan en la forma en que el malware se propaga a su sistema.
Tenga cuidado con los mensajes en las redes sociales y el correo electrónico. Claro, generalmente no representan ninguna amenaza, pero los hackers esperan que piense exactamente eso. Las técnicas de suplantación que son bastante comunes para los operadores de RedLine Stealer les permiten parecer naturales, especialmente considerando que generalmente difunden mensajes que se ajustan a su disfraz. Por esa razón, debe verificar cada "oferta generosa" dos veces, por ejemplo, en su sitio web oficial. Si no hay información correspondiente ni anuncio de ninguna promoción o asociación, manténgase alejado de cualquiera de esas cosas.
Esté atento a los anuncios en los que hace clic. La publicidad maliciosa puede llevarlo a una amplia gama de problemas diferentes, desde programas no deseados hasta adware. Pero RedLine se aprovecha de los anuncios de Google, que se consideran seguros y libres de estas cosas. Por lo tanto, llevan incluso más peligros - y las estadísticas horribles de la última campaña relacionada con anuncios maliciosos en los resultados de búsqueda de Google confirman esta tesis. Afortunadamente, las URL de las páginas que promueven estos anuncios son bastante fáciles de distinguir de las originales. Otro consejo es evitar cualquier anuncio en los resultados de búsqueda y desplazarse hacia abajo hasta las páginas reales, para que haga clic solo en lo genuino.
Use soluciones de seguridad avanzadas. Esto es tanto una medida proactiva como reactiva, ya que ayudará a eliminar amenazas sofisticadas como malware dropper y evitar cualquier otro intento. Para la seguridad corporativa, cosas como el sistema de detección y respuesta extendido (XDR), SIEM, firewalls y UBA son esenciales - y el primero es lo que crea la columna vertebral de todo el sistema de ciberseguridad. Pero incluso para usuarios individuales, tener un programa confiable que encuentre y derrote cualquier amenaza es una buena decisión.
Indicadores de Compromiso (IoC) de RedLine Stealer
Hashes
SHA256: 2b173e6cde1985b8f98e19458e587a0bb2cb4d3ca2f43fbe90317148733c8c19 SHA256: 33a58fe28fd4991d416ec5c71ed1a3902fa1b3670f0c21913e8067b117a13d40 SHA256: 6b1a6e9d2fd406bd64d19f83d5d2da53daf81cb77deafd44093e328632c812e6 SHA256: 9b83295232742e7441e112964f0cc24b825f5c7367589781ce3cacf8516c47e5 SHA256: b386457fb2917a1e71aa8f8e24ce577984a2679d518cf0c098d6175f6410b569 SHA256: 87789525666ff30d7866ebd346e712e5cb17a029e892036d2798c29568e44ce2 SHA256: b3a7841c382f8037f81b90744e527677bf00e9d1e535e54c720bf9c201046285 SHA256: f9be3f2ebd3654b7ecc41d482840872e1daaede423dff221f925acc4c72a6ce3 SHA256: 4dbf6414e86f128d65b575fe220d5346a258c2b9c188c886a93bb9293291fceb SHA256: b23551685f437c0209057195a157c249b4f5489b5237c15a8c641190eedd0ada SHA256: 3dbb485f94bffbb6e070780451ccda0c651520b651ae9f2f763a8ff9fa70060e SHA256: b41e1a0228c495766f452ae25f5cf0ec032f4e5440b02beafc75af05b80a01b5 SHA256: 1e82ed7a9d804175a7b412ac27314dbdf2e2c3453aca9954a12a30a521f47a8d SHA256: 6c1b0a6370877b232e230baa8703139865662584854a4f8306c387baa1185b50 SHA256: 05321f9484b678c42a2e08e86f0674093eeb69b9a2c47608439946601cf098c1 SHA256: 2a2a05359afeb631127ebbb8d2d2f2c4c4e3f613a9e1e0fd3287e14577c2578f
MD5: c26fb943ff2fe11908905fc573975970 MD5: 76cb8ef17282d3e07be6f4c7ea3a4075 MD5: 651acd24fd7ca46d6c41676e58f655c7 MD5: eacee8508d4a8f42ab3d77d308260460 MD5: 280b496b1556d2beea8f7b9b7958d7cd MD5: 37e07863b33d8c7a3355a3c0e1668520 MD5: 1716bf4f93fc704a463c6517ec22fed5 MD5: b7649de5628e2c6b2be40b6d2fe115c5 MD5: abce7bb76cd0b298f352761c961c8727 MD5: 9b25deede4511de18e00c1214ba32532 MD5: 918fee161ff85beba22b171f1e401cce MD5: 85a7d125f19102f0e504443c721a850c MD5: 79f29087b398759dea999db7057989c4 MD5: 657e36feb61d77e8d2d9da0833c9b8e8 MD5: 374c04c530c8e3a4f82535e0be2c748c MD5: 7fc7660c4586ac5b6cf63d2bfa616867
IP addresses
| 95.217.146.176:4287 | 162.55.188.117:48958 | 8.9.31.171:21237 |
| 77.91.78.218:47779 | 88.198.124.103:40309 | 20.100.204.23:41570 |
| 193.233.20.13:4136 | 103.169.34.87:27368 | 207.246.70.132:23 |
| 95.216.27.23:42121 | 89.23.96.224:39812 | 88.218.171.68:20005 |
| 192.227.144.59:12210 | 193.57.138.163:28786 | 79.137.192.41:40084 |
| 77.73.131.143:3320 | 185.106.93.132:800 | 77.73.134.78:38667 |
| 70.36.106.161:10456 | 142.132.186.212:8901 | 138.128.243.83:30774 |
| 45.95.67.36:36262 | 213.166.71.44:10042 | 137.74.157.83:36657 |
| 51.161.104.92:47909 | 193.233.20.12:4132 | 147.135.165.21:36456 |
| 82.115.223.77:38358 | 135.181.204.51:20347 | 103.73.219.222:26409 |
| 45.15.157.156:10562 | 185.11.61.125:22344 | 116.203.231.217:39810 |
| 178.20.45.6:19170 | 45.83.178.135:1000 | 142.132.210.105:29254 |
| 95.217.14.200:34072 | 45.15.156.205:12553 | 176.113.115.17:4132 |
| 185.106.93.207:35946 | 193.233.20.11:4131 | 157.90.117.250:45269 |
| 190.2.145.79:80 | 185.94.166.20:80 | 95.217.146.176:4286 |
Note: large and long-term C2s i.e. ones that have numerous connections, are marked in bold.
MITRE ATT&CK
| Technique ID | Name | Technique ID | Name |
|---|---|---|---|
| T1566 | Phishing | T1539 | Steal Web Session Cookie |
| T1552 | Unsecured Credentials | T1204 | User Execution |
| T1555 | Credentials from Password Stores | T1113 | Screen Capture |
| T1614 | System Location Discovery | T1124 | System Time Discovery |
| T1007 | System Service Discovery | T1087 | Account Discovery |
| T1518 | Software Discovery | T1057 | Process Discovery |
| T1120 | Peripheral Device Discovery | T1571 | Non-Standard Port |
| T1095 | Non-Application Layer Protocol | T1041 | Exfiltration Over C2 Channel |