Rilevamento malware RedLine Stealer

Indice:
Gli avversari cercano sempre nuovi trucchi per massimizzare il successo delle loro operazioni malevole. Questa volta i cyber criminali stanno approfittando dell’annuncio recente della fase di ampio dispiegamento di Windows 11 per prendere di mira gli utenti con installatori di aggiornamento infetti da malware. In caso di download ed esecuzione, le vittime ignare si trovavano con i loro sistemi infettati da RedLine information stealer.
Che cos’è il RedLine Stealer?
Rivelato per la prima volta nel 2020, RedLine stealer è stato sempre più pubblicizzato nei forum underground come una minaccia Malware-as-a-Service (MaaS), disponibile al prezzo di 150-200 dollari per un abbonamento mensile o per un campione singolo.
RedLine è uno dei più ampiamente distribuiti stealer di informazioni che può raccogliere credenziali di Windows, informazioni del browser, portafogli di criptovalute, connessioni FTP, dati bancari e altre informazioni sensibili dagli host infetti. Oltre alle capacità di esfiltrazione dati, il malware è stato recentemente aggiornato con funzionalità aggiuntive che permettono ai suoi operatori di caricare payload malevoli di seconda fase ed eseguire comandi ricevuti dal server di comando e controllo (C&C) dell’attaccante.
Sebbene l’analisi del RedLine stealer mostri che il malware non è incredibilmente sofisticato, l’adozione del modello MaaS per una distribuzione massiccia rende la minaccia un giocatore prominente nell’arena malevola.
Ultima campagna RedLine
Secondo l’ inchiesta di HP, i manutentori di RedLine si affidano sempre più a promesse fraudolente di aggiornamenti a Windows 11 per attrarre gli utenti di Windows 10. In particolare, avversari utilizzano un dominio apparentemente legittimo “windows-upgraded.com” per distribuire installatori malevoli. Se gli utenti vengono ingannati a cliccare il pulsante “Download Now”, un archivio ZIP da MB denominato “Windows11InstallationAssistant.zip” arriva sul sistema contenendo eseguibili di RedLine. Una volta estratti e avviati, le vittime hanno il DLL malevolo caricato sul loro dispositivo, il quale si rivela essere il payload di RedLine stealer.
Secondo i ricercatori, il sito web di distribuzione individuato durante l’indagine di HP è già stato disattivato. Tuttavia, gli hacker non hanno problemi a configurare un nuovo dominio e continuare con la campagna malevola.
I ricercatori di sicurezza notano che i manutentori di RedLine hanno beneficiato con successo dell’incapacità di molti utenti di Windows 10 di ottenere un aggiornamento a Windows 11 dai canali di distribuzione ufficiali a causa di incompatibilità hardware. Gli esperti credono che altre famiglie di malware potrebbero seguire la stessa routine, quindi gli utenti dovrebbero essere cauti.
Rilevamento di RedLine Stealer
Per individuare l’attività malevola associata al malware RedLine stealer e proteggere le risorse di sistema, opta per il download di una regola Sigma dedicata dal nostro esperto sviluppatore di Threat Bounty Osman Demir.
Rilevamento del falso installatore di aggiornamenti di Windows 11 (via process_creation)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell, e AWS OpenSearch.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando le tattiche di Esecuzione con il Command and Scripting Interpreter (T1059) come tecnica principale.
L’elenco completo dei rilevamenti di RedLine nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per rilevare le minacce più recenti all’interno del tuo ambiente di sicurezza, migliorare la copertura delle fonti di log e del MITRE ATT&CK, e difenderti dagli attacchi in modo più facile, veloce ed efficiente. Gli esperti di cybersecurity sono i benvenuti a unirsi al programma Threat Bounty per condividere regole Sigma curate con la comunità e ricevere ricompense ricorrenti. Desideroso di raffinare le tue abilità di hunting delle minacce? Immergiti nella nostra guida per principianti per apprendere cosa sono le regole Sigma. Inoltre, puoi fare riferimento alla nostra guida e apprendere cos’è MITRE ATT&CK® e come usarlo per il progresso personale.