Analisi Comportamentale del Redline Stealer

Gli infostealer occupano un posto speciale tra i malware, poiché, con la loro semplicità, riescono molto efficacemente ad affrontare i loro compiti primari: raccogliere tutte le informazioni potenzialmente preziose nel sistema, esfiltrarle al server di comando e controllo, e poi cancellare se stessi e le tracce delle loro attività. Vengono utilizzati sia dai principianti che dagli attori delle minacce più avanzati, e ci sono molte proposte sui forum di hacker per ogni gusto, dipendendo dal portafoglio e dalle necessità. Redline Stealer è un nuovo arrivato relativo in questa categoria, si vende a un prezzo elevato per un infostealer, i suoi autori promettono di supportare il malware e rilasciare aggiornamenti regolari, e finora hanno mantenuto le loro promesse.

Redline Stealer è stato rilevato per la prima volta all’inizio di marzo, la sua analisi ha rivelato che gli autori del malware avevano creato Mystery Stealer in passato e creato una nuova variante basata sul suo codice. Tuttavia, gli autori di Mystery non sono stati all’altezza della fiducia dei loro utenti passati, speriamo che in questa parte la storia si ripeta. Redline Stealer non si distingue per raffinatezza, il malware non ha alcuna funzionalità esclusiva, i suoi autori non hanno passato molto tempo a offuscare il codice, e tuttavia, è uno strumento piuttosto pericoloso nelle mani anche di un hacker principiante. Le versioni fresche di questo malware possono essere poco più di un comune infostealer la cui “vita” è estremamente breve: Redline Stealer ha la capacità di eseguire comandi, scaricare file, e inviare periodicamente informazioni sul sistema infetto.

Regola Sigma della comunità di Emir Erdogan consente il rilevamento di Redline Stealer in base al suo comportamento e aiuta a trovare i sistemi infetti: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso alle credenziali

Tecniche: Dumping delle Credenziali (T1003), Credenziali nei File (T1081)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.