Análise Comportamental do Redline Stealer

Os infostealers ocupam um lugar especial entre os malwares, pois, com sua simplicidade, eles lidam muito efetivamente com suas tarefas primárias: coletar todas as informações potencialmente valiosas no sistema, exfiltrá-las para o servidor de comando e controle, e então se deletar e apagar vestígios de suas atividades. Eles são usados tanto por iniciantes quanto por atores de ameaças avançados, e há muitas propostas em fóruns de hackers para todos os gostos, dependendo da carteira e das necessidades. O Redline Stealer é um relativo novato nesta categoria, vende-se a um preço alto para infostealer, seus autores prometem suportar o malware e emitir atualizações regulares, e até agora têm cumprido suas promessas.

O Redline Stealer foi detectado pela primeira vez no início de março, sua análise revelou que os autores do malware haviam criado o Mystery Stealer no passado e criaram uma nova variação com base em seu código. No entanto, os autores do Mystery não corresponderam à confiança de seus usuários antigos, esperamos que nesta parte a história se repita. O Redline Stealer não se distingue pela sofisticação, o malware não tem nenhuma funcionalidade exclusiva, seus autores não gastaram muito tempo ofuscando o código, e, mesmo assim, é uma ferramenta bastante perigosa nas mãos de um hacker iniciante. Versões recentes desse malware podem ser pouco mais do que um infostealer comum cuja “vida” é extremamente curta: o Redline Stealer tem a capacidade de executar comandos, baixar arquivos e enviar periodicamente informações sobre o sistema infectado.

A regra Sigma da comunidade por Emir Erdogan permite a detecção do Redline Stealer de acordo com seu comportamento e ajuda a encontrar sistemas infectados: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso a Credenciais

Técnicas: Coleta de Credenciais (T1003), Credenciais em Arquivos (T1081)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.