Analyse Comportementale du Redline Stealer

Les voleurs d’informations occupent une place spéciale parmi les logiciels malveillants, car, avec leur simplicité, ils s’acquittent très efficacement de leurs tâches principales : collecter toutes les informations potentiellement précieuses dans le système, les exfiltrer vers le serveur de commande et de contrôle, puis se supprimer et effacer les traces de leurs activités. Ils sont utilisés tant par les débutants que par les acteurs de menace avancés, et il existe de nombreuses propositions sur les forums de hackers pour tous les goûts, en fonction du portefeuille et des besoins. Redline Stealer est un nouvel arrivant relatif dans cette catégorie, il se vend à un prix élevé pour un voleur d’informations, ses auteurs promettent de soutenir le logiciel malveillant et de publier des mises à jour régulières, et jusqu’à présent ils ont tenu leurs promesses.

Redline Stealer a été détecté pour la première fois début mars, son analyse a révélé que les auteurs du logiciel malveillant avaient créé Mystery Stealer dans le passé et créé une nouvelle souche basée sur son code. Cependant, les auteurs de Mystery n’ont pas été à la hauteur de la confiance de leurs anciens utilisateurs, nous espérons que dans cette partie l’histoire se répétera. Redline Stealer ne se distingue pas par la sophistication, le logiciel malveillant n’a pas de fonctionnalité exclusive, ses auteurs n’ont pas passé beaucoup de temps à obscurcir le code, et néanmoins, c’est un outil plutôt dangereux entre les mains d’un pirate débutant. Les versions fraîches de ce logiciel malveillant peuvent être peu plus que des voleurs d’informations communs dont la « vie » est extrêmement courte : Redline Stealer a la capacité d’exécuter des commandes, de télécharger des fichiers, et d’envoyer périodiquement des informations sur le système infecté.

Règle Sigma de la communauté par Emir Erdogan permet la détection de Redline Stealer selon son comportement et aide à trouver les systèmes infectés : https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

La règle comporte des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Accès aux informations d’identification

Techniques : Vidage des informations d’identification (T1003), Informations d’identification dans les fichiers (T1081)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.