RedLine o, nella versione completa, RedLine Stealer, è un malware progettato per raccogliere dati ed informazioni presenti nei sistemi che colpisce e per permettere il download e l’esecuzione di ulteriori payload malevoli.
A partire dal suo primo rilascio (avvenuto, in accordo ai primi post promozionali all’interno di un DDW forum, verso metà febbraio 2020), RedLine Stealer ha causato vittime in molteplici ambiti e settori portando a perdite finanziarie e di informazioni a scapito sia di realtà private che pubbliche.
Formalmente esso si posiziona nella categoria degli “infostealer” in quanto in grado di raccogliere informazioni da browser di navigazione, sistemi di messaggistica istantanea e software usati per il trasferimento di file.
L’obiettivo primario delle campagne che vedono RedLine come impianto malware è quasi sempre l’acquisizione di credenziali di accesso a servizi privati e/o aziendali, informazioni sulle carte di credito, cookie di sessione attivi e dati inerenti portafogli di criptovalute.
Di base esso agisce similarmente ad altri malware simili avendo la possibilità di carica e scaricare ulteriori tool e malware, eseguire comandi arbitrari e monitorare quanto in esecuzione nel contesto dei sistemi vittima.
Non è insolito osservare RedLine come precursore di attacchi ransomware. Per quanto riguarda la politica dei prezzi, le licenze d’uso possono essere acquistate su forum DDW con un investimento che parte da 100 dollari al mese per la versione standard fino a 200 dollari al mese per la PRO, passando per la LITE proposta a 150 dollari al mese.
Indice degli argomenti
Le caratteristiche tecniche di RedLine Stealer
RedLine Stealer non è un malware particolarmente sofisticato. Presenta caratteristiche comuni a molti malware che fanno parte della sua categoria e non mostra particolari doti di furtività se prendiamo in considerazione il payload standard.
Tuttavia, alcune particolarità e caratteristiche del codice fanno pensare che dietro di esso ci sia uno sviluppatore esperto. Inoltre, è altresì importante notare che RedLine Stealer viene costantemente aggiornato in termini di funzionalità e caratteristiche.
Durante l’esecuzione fa affidamento su parametri di configurazione specificati in fase di build e che presentano, all’estrazione, un formato simile al seguente:
In genere, il processo di esecuzione è piuttosto basilare e vede l’eseguibile principale lanciare se stesso mentre il processo padre interrompe l’esecuzione.
Quando tutte le informazioni di interesse vengono acquisite, RedLine solitamente interrompe l’esecuzione. Le informazioni acquisite possono essere inviate sia totalmente in chiaro che in formato codificato in Base64.
Intelligence e diffusione di RedLine Infostealer
Il primo post promozionale relativo al malware RedLine risale al 19 febbraio 2020 in un forum DDW chiuso da parte dell’utente REDGlade.
Tale post riporta tuttora le caratteristiche principali del malware e chiarifica l’attenzione dei suoi sviluppatori verso il mondo del carding. Di seguito il testo del post, in originale lingua russa, che ne va a specificare le caratteristiche peculiari:
L’autore specifica, inoltre, un canale di supporto Telegram mediante il quale è possibile chiedere informazioni sul prodotto, provvedere direttamente all’acquisto e rimanere aggiornati sugli ultimi rilasci.
Le attività del malware in Italia
In accordo ai dati telemetrici acquisiti e lavorati dal gruppo di ricerca Cluster25, in Italia le infezioni riconducibili a varianti RedLine nell’ultimo anno hanno superato le diecimila unità, con la maggior parte delle vittime ricomprese nel settore privato.
Non mancano, tuttavia, vittime ricomprese nella pubblica amministrazione, anche centrale, e grandi realtà operanti nei settori farmaceutico ed intrattenimento.
Per quanto riguarda i metodi di diffusione essi sono piuttosto standard: campagne malspam, compromissione di e-mail aziendali, aggiornamenti fasulli, annunci indicizzati da motori di ricerca con allegati o collegamenti dannosi.
I formati vettore maggiormente utilizzati sono i seguenti:
- Archives
- Office
- Executable files
- JavaScript
Conclusioni
RedLine Stealer è, ad oggi, uno dei malware infostealer maggiormente popolari nell’underground digitale.
La sua popolarità è così vasta che i dati di log da esso prodotti a partire dalle migliaia di infezioni attive costituiscono oggi un vero e proprio mercato parallelo in molti forum DDW dove possono arrivare ad essere venduti, in base alle dimensioni, anche per decine di migliaia di dollari.
RedLine Stealer è una minaccia in continua evoluzione in quanto presenta rilasci frequenti e abbastanza mirati alle necessità della comunità criminale.
È spesso associato a packer e crypter utili per abbassare i ratei di rilevamento dei vari motori antivirali.
