Análisis de malware

Malware ladrón Redline: análisis completo

17 de noviembre de por Pedro Tavares

El malware Redline se observó por primera vez en marzo de, pero sigue siendo la amenaza cibernética más destacada que afectará a los usuarios de todo el mundo en. Según el rastreador de tendencias AnyRun , se enviaron 1473 muestras al sandbox en línea en septiembre de, un aumento de 377 muestras en En contraste con agosto, con un total de 2.600 dominios y 405 direcciones IP únicas.

1: Total de muestras de malware Redline en septiembre de ( fuente ).

Redline es un malware que se ha actualizado durante los últimos meses, con funciones de exfiltración de credenciales y billeteras de criptomonedas, información del navegador y datos de autenticación FTP. También recopila información sobre la máquina infectada, como información del sistema operativo, hardware del sistema, procesos, idioma del sistema y más. También se implementaron capacidades para cargar cargas útiles remotas y un protocolo SOAP para la comunicación C2, una señal clara de que esta pieza maliciosa debería pasar desapercibida.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Modus operandi del malware Redline

Este ladrón de información opera en un modelo MaaS (malware como servicio) y se distribuye en foros clandestinos según las necesidades de los usuarios; versión ligera de $150; Versión profesional de $ Opción de suscripción de $100/mes. En el canal Telegram, el malware se puede adquirir y pagar en Bitcoin, Ethereum, XMR, LTC y USDT.

2: Canal oficial de Telegram de Redline.

La 3 a continuación muestra las características de Redline compartidas por los delincuentes en un foro específico donde sus autores lo distribuyen libremente.

3: Características detalladas del malware Redline.

El vehículo utilizado por los delincuentes para difundir al ladrón de Redline es el correo electrónico. Se envía un mensaje malicioso y convincente junto con una URL responsable de descargar el archivo binario instalado en la máquina de destino. La salud (aprovechando la situación del COVID-19) y la manufactura fueron dos sectores industriales afectados por esta amenaza en los últimos meses.

4: Plantilla de correo electrónico del malware Redline relacionado con la situación de la pandemia de COVID-19.

Servidor Redline C2

Este malware está escrito en C# y utiliza una API SOAP para establecer comunicación con su servidor C2. Como se observó en el clandestino Horus Eyes RAT , este ladrón aprovecha las potentes funciones de la API de Telegram para notificar a los delincuentes sobre nuevas infecciones de una manera sencilla. Algunos detalles sobre este mecanismo se pueden ver a continuación.

5 : Configuración del bot Redline Telegram.

Después de recibir un ping a través de un canal de Telegram, los delincuentes pueden interactuar con el agente Redline instalado en el dispositivo de la víctima utilizando el panel C2 instalado en una máquina con Windows. El servidor de comando y control también está escrito en C# y su comunicación se basa en un WSDL con una API SOAP para interactuar con los agentes maliciosos.

Como se observa a continuación, el panel C2 incluye varias características, que incluyen:

Además, el panel C2 puede ejecutar cargas útiles adicionales en el lado de los agentes e incluso abrir URL específicas en el navegador web predeterminado. La 6 muestra algunos detalles sobre el panel Redline C2 con datos confidenciales redactados y el bloque de código responsable de ejecutar cargas útiles adicionales.

6: Detalles sobre el panel Redline C2 y el bloque de código responsable de ejecutar cargas útiles adicionales.

Aunque este malware está equipado con muchas características modernas que también se observan en ladrones de esta naturaleza, Redline no utiliza criptografía para crear un canal seguro cuando se comunica con el servidor C2, y todos los paquetes y datos se pueden identificar fácilmente en el capa de red mediante dispositivos de seguridad mediante la creación de reglas personalizadas para detectarla.

7: Sobre SOAP del malware Redline cuando se inicia una tarea específica (módulo de ladrón de contraseñas).

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Entendiendo el malware Redline

El malware Redline es un malware reciente escrito en C# con un crecimiento notable en y difundido mediante plantillas relacionadas con la pandemia de COVID-19. Incluye módulos para robar credenciales y recopilar información de la máquina infectada y la capacidad de descargar archivos remotos y ejecutar cargas útiles adicionales, incluido otro malware.

En general, los usuarios deben estar capacitados contra amenazas de esta naturaleza y centrarse en los esquemas de ingeniería social que proliferan a través del correo electrónico. El correo electrónico sigue siendo el vehículo más utilizado para distribuir campañas maliciosas, especialmente mensajes con URL codificadas o archivos adjuntos que pueden conducir al despliegue de cargas útiles maliciosas.

Tomémonos en serio la protección contra malware y detengamos desde cero la difusión de este tipo de amenazas con una formación práctica de sensibilización.

Fuentes