Detecção de Malware RedLine Stealer

[post-views]
Fevereiro 17, 2022 · 4 min de leitura
Detecção de Malware RedLine Stealer

Os adversários sempre procuram novas artimanhas para maximizar o sucesso de suas operações maliciosas. Desta vez, os cibercriminosos estão aproveitando o recente anúncio da fase de implantação do Windows 11 para atingir usuários com instaladores de upgrade carregados de malware. Caso sejam baixados e executados, as vítimas desavisadas têm seus sistemas infectados com RedLine stealer de informações

O Que É o RedLine Stealer?

Revelado pela primeira vez em 2020, o RedLine stealer tem sido cada vez mais anunciado nos fóruns subterrâneos como uma ameaça Malware-as-a-Service (MaaS), estando disponível por um preço de $150-200 para uma assinatura mensal ou amostra avulsa.

O RedLine é um dos ladrões de informações mais amplamente implantados que pode capturar credenciais do Windows, informações de navegador, carteiras de criptomoedas, conexões FTP, dados bancários e outras informações sensíveis dos hosts infectados. Além das capacidades de despejo de dados, o malware foi recentemente atualizado com recursos adicionais que permitem a seus operadores carregar cargas maliciosas de segunda fase e executar comandos recebidos do servidor de comando e controle (C&C) do atacante.

Embora a análise do RedLine stealer mostre que o malware não é incrivelmente sofisticado, a adoção do modelo MaaS para distribuição em massa torna a ameaça um jogador proeminente na arena maliciosa.

Campanha RedLine Mais Recente

De acordo com a investigação da HP, os mantenedores do RedLine confiam cada vez mais em promessas fraudulentas de upgrades para o Windows 11 para atrair usuários do Windows 10. Em particular, os adversários aproveitam um domínio aparentemente legítimo “windows-upgraded.com” para disseminar instaladores maliciosos. Se os usuários forem enganados a clicar no botão “Download Now”, um arquivo ZIP pesado com o nome “Windows11InstallationAssistant.zip” chega ao sistema contendo executáveis do RedLine. Após extraídos e lançados, as vítimas tiveram a DLL maliciosa carregada em seu dispositivo, revelando-se a carga útil do RedLine stealer.

De acordo com os pesquisadores, o site de distribuição localizado durante a investigação da HP já foi retirado do ar. No entanto, os hackers não têm problemas em configurar um novo domínio e prosseguir com a campanha maliciosa.

Os pesquisadores de segurança observam que os mantenedores do RedLine tiveram sucesso ao aproveitar a incapacidade de muitos usuários do Windows 10 de obter um upgrade para o Windows 11 pelos canais oficiais de distribuição devido a incompatibilidades de hardware. Os especialistas acreditam que outras famílias de malware podem seguir a mesma rotina, então os usuários devem ser cautelosos.

Detectando o RedLine Stealer

Para identificar a atividade maliciosa associada ao malware RedLine stealer e proteger os ativos do sistema, opte por baixar uma regra Sigma dedicada do nosso desenvolvedor atento de Threat Bounty Osman Demir

Detecção de Instalador Falso de Upgrade do Windows 11 (via process_creation)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell, e AWS OpenSearch.

A regra está alinhada com a estrutura mais recente do MITRE ATT&CK® v.10, abordando a tática de Execução com Command and Scripting Interpreter (T1059) como a técnica principal.

A lista completa de detecções do RedLine no repositório do Marketplace de Detecção de Ameaças da plataforma SOC Prime está disponível aqui.

Inscreva-se gratuitamente na plataforma de Detecção como Código da SOC Prime para detectar as ameaças mais recentes no seu ambiente de segurança, melhorar a fonte de log e a cobertura do MITRE ATT&CK, e defender-se contra ataques de maneira mais fácil, rápida e eficiente. Especialistas em cibersegurança são mais que bem-vindos ao programa Threat Bounty para compartilhar regras Sigma curadas com a comunidade e obter recompensas recorrentes. Ansioso para aprimorar suas habilidades de caça a ameaças? Mergulhe em nosso guia para iniciantes para aprender o que são regras Sigma. Além disso, você pode consultar nosso guia e aprender o que é o MITRE ATT&CK® e como usá-lo para autoaperfeiçoamento.

Ir para a Plataforma Junte-se ao Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias