Détection de Malware RedLine Stealer
Table des matières :
Les adversaires recherchent toujours de nouveaux stratagèmes pour maximiser le succès de leurs opérations malveillantes. Cette fois, les cybercriminels profitent de l’annonce récente de la phase de déploiement général de Windows 11 pour cibler les utilisateurs avec des installateurs de mise à niveau infectés par des logiciels malveillants. Si téléchargé et exécuté, les victimes non suspectantes voient leurs systèmes infectés par le voleur d’informations RedLine.
Qu’est-ce que RedLine Stealer ?
Révélé pour la première fois en 2020, RedLine stealer a été de plus en plus annoncé sur les forums clandestins comme une menace de Malware-as-a-Service (MaaS), disponible pour un prix de 150 à 200 dollars pour un abonnement mensuel ou un échantillon autonome.
RedLine est l’un des voleurs d’informations les plus largement déployés, capable de saisir les identifiants Windows, les informations du navigateur, les portefeuilles de cryptomonnaies, les connexions FTP, les données bancaires et d’autres informations sensibles des hôtes infectés. En dehors des capacités de collecte de données, le logiciel malveillant a récemment été mis à niveau avec des fonctionnalités supplémentaires qui permettent à ses opérateurs de charger des charges utiles malveillantes de deuxième étape et d’exécuter des commandes reçues du serveur de commande et de contrôle (C&C) de l’attaquant.
Bien que l’analyse de RedLine stealer montre que le logiciel malveillant n’est pas incroyablement sophistiqué, l’adoption du modèle MaaS pour une distribution massive en fait une menace de premier plan dans l’arène malveillante.
Dernière campagne RedLine
Selon l’ enquête de HP, les mainteneurs de RedLine s’appuient de plus en plus sur de fausses promesses de mise à niveau de Windows 11 pour attirer les utilisateurs de Windows 10. En particulier, les adversaires exploitent un domaine apparemment légitime « windows-upgraded.com » pour diffuser des installateurs malveillants. Si les utilisateurs sont trompés en cliquant sur le bouton « Télécharger maintenant », un fichier ZIP MB surnommé « Windows11InstallationAssistant.zip » est téléchargé dans le système, contenant les exécutables RedLine. Après extraction et lancement, les victimes voient la DLL malveillante chargée sur leur appareil, s’avérant être la charge utile de RedLine stealer.
Selon les chercheurs, le site Web de distribution repéré lors de l’enquête par HP a déjà été supprimé. Néanmoins, les hackers n’ont aucune difficulté à créer un nouveau domaine et à poursuivre la campagne malveillante.
Les chercheurs en sécurité notent que les mainteneurs de RedLine ont tiré parti de l’incapacité de nombreux utilisateurs de Windows 10 à obtenir une mise à niveau vers Windows 11 par les canaux de distribution officiels en raison d’incompatibilités matérielles. Les experts pensent que d’autres familles de logiciels malveillants pourraient suivre la même routine, donc les utilisateurs devraient être prudents.
Détecter RedLine Stealer
Pour repérer l’activité malveillante associée au logiciel malveillant RedLine stealer et sécuriser les actifs du système, optez pour le téléchargement d’une règle Sigma dédiée par notre développeur Threat Bounty avisé Osman Demir.
Détection d’un faux installateur de mise à niveau Windows 11 (via process_creation)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les tactiques d’exécution avec interpréteur de commandes et de scripts (T1059) comme technique principale.
La liste complète des détections RedLine dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer la couverture des sources de journaux et de MITRE ATT&CK, et vous défendre contre les attaques de manière plus facile, rapide et efficace. Les adeptes de la cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty afin de partager les règles Sigma enrichies avec la communauté et obtenir des récompenses récurrentes. Désireux d’améliorer vos compétences en chasse aux menaces ? Consultez notre guide pour débutants pour découvrir qu’est-ce que les règles Sigma. Vous pouvez également vous référer à notre guide et apprendre qu’est-ce que MITRE ATT&CK® et comment l’utiliser pour votre avancement personnel.
