Análisis de Comportamiento de Redline Stealer

[post-views]
septiembre 10, 2020 · 2 min de lectura
Análisis de Comportamiento de Redline Stealer

Los infostealers ocupan un lugar especial entre el malware, ya que, con su simplicidad, manejan muy eficazmente sus tareas principales: recopilar toda la información potencialmente valiosa del sistema, exfiltrarla al servidor de comando y control, y luego eliminarse a sí mismos y las huellas de sus actividades. Son utilizados tanto por principiantes como por actores de amenazas avanzados, y hay muchas propuestas en foros de hackers para todos los gustos, dependiendo del bolsillo y las necesidades. Redline Stealer es un recién llegado a esta categoría, se vende a un alto precio para un infostealer, sus autores prometen mantener el malware y emitir actualizaciones regulares, y hasta ahora han cumplido sus promesas.

Redline Stealer fue detectado por primera vez a principios de marzo, su análisis reveló que los autores del malware habían creado Mystery Stealer en el pasado y crearon una nueva variante basada en su código. Sin embargo, los autores de Mystery no estuvieron a la altura de la confianza de sus usuarios anteriores, esperamos que en esta parte la historia se repita. Redline Stealer no se distingue por su sofisticación, el malware no tiene ninguna funcionalidad exclusiva, sus autores no dedicaron mucho tiempo a ofuscar el código, y sin embargo, es una herramienta bastante peligrosa en manos de incluso un hacker novato. Las versiones frescas de este malware pueden ser poco más que un infostealer común cuya «vida» es extremadamente corta: Redline Stealer tiene la capacidad de ejecutar comandos, descargar archivos y periódicamente enviar información sobre el sistema infectado.

La regla de Sigma comunitaria por Emir Erdogan permite la detección de Redline Stealer según su comportamiento y ayuda a encontrar sistemas infectados: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso a Credenciales

Técnicas: Volcado de Credenciales (T1003), Credenciales en Archivos (T1081)


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias