RedLine Stealer Malwareerkennung
Inhaltsverzeichnis:
Gegner suchen immer nach neuen Tricks, um den Erfolg ihrer bösartigen Operationen zu maximieren. Diesmal nutzen Cyberkriminelle die kürzlich angekündigte breite Bereitstellungsphase von Windows 11 aus, um Benutzer mit mit Malware gespickten Upgrade-Installationsprogrammen ins Visier zu nehmen. Falls heruntergeladen und ausgeführt, wurden ahnungslose Opfer mit ihren Systemen infiziert RedLine-Informationsdieb.
Was ist RedLine-Stealer?
Erstmals im Jahr 2020 enthüllt, wird RedLine-Stealer zunehmend in den Untergrundforen als Malware-as-a-Service (MaaS) Bedrohung beworben und steht zu einem Preis von 150-200 US-Dollar für ein monatliches Abonnement oder ein eigenständiges Beispiel zur Verfügung.
RedLine ist einer der am weitesten verbreiteten Informationsdiebe, der Windows-Anmeldedaten, Browserinformationen, Kryptowährungs-Wallets, FTP-Verbindungen, Bankdaten und andere sensible Informationen von den infizierten Hosts abrufen kann. Abgesehen von den Datenerfassungsfähigkeiten wurde die Malware kürzlich mit zusätzlichen Funktionen aufgerüstet, die es ihren Betreibern ermöglichen, sekundäre bösartige Payloads zu laden und Befehle zu empfangen und auszuführen, die vom Kommando- und Kontrollserver des Angreifers (C&C) stammen.
Obwohl die Analyse des RedLine-Stealers zeigt, dass die Malware nicht unglaublich ausgefeilt ist, macht das Adoptierten des MaaS-Modells für massive Verbreitung die Bedrohung zu einem prominenten Akteur in der bösartigen Arena.
Neuste RedLine-Kampagne
Laut der Untersuchung von HPverlassen sich die Betreuer von RedLine zunehmend auf betrügerische Windows 11-Upgrade-Versprechen, um Windows 10-Benutzer zu ködern. Insbesondere nutzen die Gegner eine scheinbar legitime „windows-upgraded.com“-Domain, um bösartige Installationsprogramme zu verbreiten. Wenn Benutzer dazu verleitet werden, auf die Schaltfläche „Jetzt herunterladen“ zu klicken, landet ein MB ZIP-Archiv namens „Windows11InstallationAssistant.zip“ auf dem System, das RedLine-Executables enthält. Nach dem Extrahieren und Starten wurde das bösartige DLL auf ihr Gerät geladen, das sich als die RedLine-Stealer-Nutzlast herausstellte.
Den Forschern zufolge wurde die während der Untersuchung durch HP entdeckte Verteilungswebsite bereits abgeschaltet. Nichtsdestotrotz haben Hacker keine Schwierigkeiten, eine neue Domain einzurichten und die bösartige Kampagne fortzusetzen.
Sicherheitsforscher stellen fest, dass die Betreuer von RedLine erfolgreich von der Unfähigkeit vieler Windows 10-Benutzer profitiert haben, ein Windows 11-Upgrade über die offiziellen Distributionskanäle aufgrund von Hardware-Inkompatibilitäten zu erhalten. Experten glauben, dass andere Malware-Familien demselben Muster folgen könnten, weshalb Benutzer vorsichtig sein sollten.
Erkennung von RedLine-Stealer
Um die mit der RedLine-Stealer-Malware verbundene bösartige Aktivität zu erkennen und die Systemressourcen zu sichern, sollten Sie eine dedizierte Sigma-Regel unseres engagierten Threat Bounty-Entwicklers herunterladen Osman Demir.
Erkennung von gefälschten Windows 11 Upgrade Installer (via process_creation)
Diese Erkennung bietet Übersetzungen für folgende SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell und AWS OpenSearch.
Die Regel ist auf den neuesten MITRE ATT&CK®-Rahmen v.10 ausgerichtet, der die Ausführungstaktiken mit dem Haupttechnik Command and Scripting Interpreter (T1059) adressiert.
Die vollständige Liste der RedLine-Erkennungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.
Melden Sie sich kostenlos auf SOC Primes Detection as Code-Plattform an, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, die Logquellen- und MITRE ATT&CK-Abdeckung zu verbessern und Angriffe einfacher, schneller und effizienter abzuwehren. Fachleute im Bereich Cybersicherheit sind herzlich eingeladen, dem Threat Bounty-Programm beizutreten, um kuratierte Sigma-Regeln mit der Community zu teilen und wiederkehrende Belohnungen zu erhalten. Möchten Sie Ihre Fähigkeiten zur Bedrohungserkennung verbessern? Tauchen Sie in unseren Leitfaden für Anfänger ein, um was Sigma-Regeln sindzu lernen. Außerdem können Sie auf unseren Leitfaden verweisen und lernen was MITRE ATT&CK® ist und wie man es zur Selbstverbesserung nutzt.
