Detección de Malware RedLine Stealer

[post-views]
febrero 17, 2022 · 4 min de lectura
Detección de Malware RedLine Stealer

Los adversarios siempre buscan nuevos trucos para maximizar el éxito de sus operaciones maliciosas. Esta vez, los ciberdelincuentes están aprovechando el reciente anuncio de la fase de implementación amplia de Windows 11 para atacar a los usuarios con instaladores de actualización cargados de malware. En caso de ser descargados y ejecutados, las víctimas desprevenidas infectaron sus sistemas con el ladrón de información RedLine

¿Qué es RedLine Stealer?

Revelado por primera vez en 2020, el ladrón RedLine ha sido cada vez más publicitado en los foros clandestinos como una amenaza de Malware como Servicio (MaaS), estando disponible a un precio de 150-200 dólares por suscripción mensual o muestra independiente.

RedLine es uno de los ladrones de información más ampliamente desplegados que puede obtener credenciales de Windows, información del navegador, carteras de criptomonedas, conexiones FTP, datos bancarios y otra información sensible de los hosts infectados. Además de las capacidades de volcado de datos, el malware fue recientemente mejorado con características adicionales que permiten a sus operadores cargar cargas útiles maliciosas de segunda etapa y ejecutar comandos recibidos del servidor de comando y control (C&C) del atacante.

Aunque el análisis del ladrón RedLine muestra que el malware no es increíblemente sofisticado, adoptar el modelo MaaS para una distribución masiva hace de la amenaza un jugador destacado en la arena maliciosa.

Última campaña de RedLine

Según la investigación de HP, los mantenedores de RedLine dependen cada vez más de falsas promesas de actualización de Windows 11 para atraer a los usuarios de Windows 10. En particular, los adversarios aprovechan un dominio «windows-upgraded.com» aparentemente legítimo para distribuir instaladores maliciosos. Si los usuarios son engañados para hacer clic en el botón «Descargar ahora», un archivo ZIP de MB denominado «Windows11InstallationAssistant.zip» llega al sistema que contiene ejecutables de RedLine. Después de extraído y lanzado, las víctimas cargaron el DLL malicioso en su dispositivo, que resultó ser la carga útil del ladrón RedLine.

Según los investigadores, el sitio web de distribución detectado durante la investigación por HP ya ha sido eliminado. Sin embargo, a los hackers no les cuesta mucho establecer un nuevo dominio y continuar con la campaña maliciosa.

Los investigadores de seguridad señalan que los mantenedores de RedLine se beneficiaron exitosamente de la incapacidad de muchos usuarios de Windows 10 para obtener una actualización a Windows 11 desde los canales de distribución oficiales debido a incompatibilidades de hardware. Los expertos creen que otras familias de malware pueden seguir la misma rutina, por lo que los usuarios deben ser cautelosos.

Detección de RedLine Stealer

Para detectar la actividad maliciosa asociada con el malware ladrón RedLine y asegurar los activos del sistema, opte por descargar una regla Sigma dedicada por nuestro experto desarrollador de Threat Bounty Osman Demir

Detección de Instalador Falso de Actualización a Windows 11 (a través de creación_de_procesos)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender para Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell y AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando las tácticas de Ejecución con el Intérprete de Comandos y Scripts (T1059) como la técnica principal.

La lista completa de detecciones de RedLine en el repositorio de la plataforma SOC Prime del Mercado de Detección de Amenazas está disponible aquí.

Regístrese gratis en la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas dentro de su entorno de seguridad, mejorar la fuente de logs y la cobertura de MITRE ATT&CK, y defenderse contra ataques de manera más fácil, rápida y eficiente. Los adeptos a la ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para compartir reglas Sigma curadas con la comunidad y obtener recompensas recurrentes. ¿Ansioso por pulir tus habilidades de caza de amenazas? Sumérgete en nuestra guía para principiantes para aprender qué son las reglas Sigma. También puede consultar nuestra guía y aprender qué es MITRE ATT&CK® y cómo usarlo para el autoavance.

Ir a la Plataforma Únete a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias