Análise Comportamental do Redline Stealer

[post-views]
Setembro 10, 2020 · 3 min de leitura
Análise Comportamental do Redline Stealer

Os infostealers ocupam um lugar especial entre os malwares, pois, com sua simplicidade, eles lidam muito efetivamente com suas tarefas primárias: coletar todas as informações potencialmente valiosas no sistema, exfiltrá-las para o servidor de comando e controle, e então se deletar e apagar vestígios de suas atividades. Eles são usados tanto por iniciantes quanto por atores de ameaças avançados, e há muitas propostas em fóruns de hackers para todos os gostos, dependendo da carteira e das necessidades. O Redline Stealer é um relativo novato nesta categoria, vende-se a um preço alto para infostealer, seus autores prometem suportar o malware e emitir atualizações regulares, e até agora têm cumprido suas promessas.

O Redline Stealer foi detectado pela primeira vez no início de março, sua análise revelou que os autores do malware haviam criado o Mystery Stealer no passado e criaram uma nova variação com base em seu código. No entanto, os autores do Mystery não corresponderam à confiança de seus usuários antigos, esperamos que nesta parte a história se repita. O Redline Stealer não se distingue pela sofisticação, o malware não tem nenhuma funcionalidade exclusiva, seus autores não gastaram muito tempo ofuscando o código, e, mesmo assim, é uma ferramenta bastante perigosa nas mãos de um hacker iniciante. Versões recentes desse malware podem ser pouco mais do que um infostealer comum cuja “vida” é extremamente curta: o Redline Stealer tem a capacidade de executar comandos, baixar arquivos e enviar periodicamente informações sobre o sistema infectado.

A regra Sigma da comunidade por Emir Erdogan permite a detecção do Redline Stealer de acordo com seu comportamento e ajuda a encontrar sistemas infectados: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Acesso a Credenciais

Técnicas: Coleta de Credenciais (T1003), Credenciais em Arquivos (T1081)


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias