.



ESET Research publiceert analyse van het Redline Stealer infostealer imperium

ESET-onderzoekers hebben na de takedown van RedLine Stealer door internationale autoriteiten hun onderzoek naar de ongedocumenteerde backend-modules van deze infostealer, die de wetshandhavers hielpen bij de takedown-poging, openbaar gemaakt. ESET's diepgaande technische analyse geeft een beter inzicht in de innerlijke werking van dit malware-as-a-service (MaaS) imperium. Onderzoekers van ESET verzamelden, in samenwerking met wetshandhavers, meerdere modules die werden gebruikt om de infrastructuur achter RedLine Stealer in 2023 uit te voeren. Het Team Cybercrime Limburg van de politie, samen met de FBI, Eurojust en verschillende andere wetshandhavingsorganisaties, voerden op 24 oktober 2024 een takedown uit van de beruchte RedLine Stealer-operatie en zijn kloon META Stealer genaamd. Deze wereldwijde actie, Operatie Magnus genaamd, resulteerde in de ontmanteling van drie servers in Nederland, de inbeslagname van twee domeinen, de inhechtenisneming van twee mensen in België en de onthulling van de aanklacht tegen een van de vermeende daders in de Verenigde Staten.

In april 2023 nam ESET deel aan een gedeeltelijke onderbrekingsoperatie van de RedLine-malware, die bestond uit het verwijderen van verschillende GitHub-repositories die werden gebruikt als dead-drop resolvers voor het controlepaneel van de malware. Rond die tijd onderzocht ESET Research in samenwerking met collega-onderzoekers van Flare eerder ongedocumenteerde backend-modules van deze malwarefamilie. Deze modules werken niet direct samen met de malware, maar handelen de authenticatie af en bieden functionaliteit voor het controlepaneel.

“We waren in staat om meer dan 1.000 unieke IP-adressen te identificeren die gebruikt worden om RedLine controlepanelen te hosten. Hoewel er sprake kan zijn van enige overlap, suggereert dit in de orde van 1.000 abonnees op de RedLine MaaS. De 2023 versies van RedLine Stealer die ESET in detail onderzocht, gebruikten het Windows Communication Framework voor de communicatie tussen de componenten, terwijl de nieuwste versie uit 2024 een REST API gebruikt. Op basis van onze analyse van de broncode en backend samples hebben we vastgesteld dat RedLine Stealer en META Stealer dezelfde maker hebben,” zegt ESET-onderzoeker Alexandre Côté Cyr, die de RedLine en META stealers onderzocht.

Deze unieke IP-adressen werden gebruikt om RedLine panels te hosten, waarvan Rusland, Duitsland en Nederland elk ongeveer 20% van de IP-adressen voor hun rekening nemen, gevolgd door Finland en de Verenigde Staten elk met ongeveer 10%. ESET was ook in staat om meerdere verschillende back-end servers te identificeren. Gebaseerd op hun geografische verdeling, bevinden de servers zich voornamelijk in Rusland (ongeveer een derde), terwijl het Verenigd Koninkrijk, Nederland en Tsjechië elk ongeveer 15% van de door ons geïdentificeerde servers herbergen.

RedLine Stealer is een informatie stelende malware (infostealer) die voor het eerst werd ontdekt in 2020. RedLine wordt niet centraal beheerd, maar werkt volgens een MaaS-model waarbij iedereen een kant-en-klare infostealer-oplossing kan kopen via verschillende online forums en Telegram-kanalen. Klanten, die we affiliates noemen, kunnen kiezen voor een maandabonnement of een levenslange licentie; in ruil voor hun geld krijgen ze een controlepaneel dat malwarevoorbeelden genereert en voor hen als C&C-server fungeert. De gegenereerde samples kunnen een grote verscheidenheid aan informatie verzamelen, waaronder lokale cryptocurrency wallets; cookies, opgeslagen referenties en opgeslagen creditcardgegevens van browsers; en opgeslagen gegevens van Steam, Discord, Telegram en verschillende desktop VPN-toepassingen.

“Het gebruik van een kant-en-klare oplossing maakt het makkelijker voor de filialen om RedLine Stealer te integreren in grotere campagnes. Enkele opmerkelijke voorbeelden zijn het voordoen als gratis downloads van ChatGPT in 2023 en het zich voordoen als videogame cheats in de eerste helft van 2024,” legt Côté Cyr uit.

Vóór Operatie Magnus was RedLine één van de meest wijdverspreide infostealer-malware met een zeer groot aantal affiliates die het controlepaneel gebruikten. De malware-as-a-service-onderneming lijkt echter te worden geleid door slechts een klein aantal mensen, van wie sommigen nu zijn geïdentificeerd door de wetshandhavingsinstanties.

Voor een gedetailleerde technische analyse, zie de blogpost “Life on a crooked RedLine: Analyzing the infamous infostealer’s backend” op WeLiveSecurity.com. En volg  ESET Research op X voor het laatste nieuws. 

 

Heatmap met de geografische spreiding van gehoste RedLine panelen

Meer over
Lees ook
Proofpoint: "Cloudflare-tunnels misbruikt voor afleveren van RAT's"

Proofpoint: "Cloudflare-tunnels misbruikt voor afleveren van RAT's"

Cybersecuritybedrijf Proofpoint volgt een groep cybercriminelen die Cloudflare-tunnels gebruikt voor het afleveren van malware. De criminelen misbruiken de TryCloudflare-functie die het mogelijk maakt om eenmalig zonder een account een tunnel aan te maken. Deze tunnels verlenen op afstand toegang tot gegevens en bronnen die zich niet op het lokale1

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.

WatchGuard: malware gericht op endpoints stijgt explosief

WatchGuard: malware gericht op endpoints stijgt explosief

Ondanks dat het totale aantal netwerkdetecties van malware in het afgelopen kwartaal bijna gehalveerd is ten opzichte van het vorige kwartaal, is het aantal detecties van malware gericht op endpoints met 82% gestegen.