CANON_112024 CANON_112024 CANON_112024

ESET prispel k rozloženiu obávanej infostealerovej mašinérie RedLine Stealer

Tlačové správy
0
  • V rámci operácie Magnus pred niekoľkými dňami holandská polícia spolu s FBI, Eurojustom a niekoľkými ďalšími orgánmi vykonali zásah proti neslávne známej infostealerovej mašinérii RedLine Stealer.
  • V roku 2023 výskumníci spoločnosti ESET v spolupráci s orgánmi činnými v trestnom konaní zhromaždili viaceré moduly používané na prevádzku infraštruktúry, ktorá stála za operáciami RedLine Stealer.
  • Tieto doteraz nezdokumentované moduly ESET analyzoval, aby získal prehľad o vnútornom fungovaní tohto impéria malvéru ako služby (MaaS).
  • Výskumníkom spoločnosti ESET sa podarilo identifikovať viac ako 1 000 jedinečných IP adries používaných na umiestnenie riadiacich panelov RedLine.
  • Na základe vlastnej analýzy zdrojového kódu a vzoriek backendu spoločnosť ESET zistila, že RedLine Stealer a ďalší META Stealer majú spoločného tvorcu.
  • RedLine Stealer dokáže zhromažďovať veľké množstvo informácií vrátane lokálnych kryptomenových peňaženiek, cookies, uložených prihlasovacích údajov a uložených údajov o kreditných kartách z prehliadačov, uložených údajov zo služieb Steam, Discord a Telegram aj rôznych desktopových VPN aplikácií.

Po rozložení RedLine Stealer medzinárodnými orgánmi výskumníci spoločnosti ESET zverejnili svoju analýzu doposiaľ nezdokumentovaných backendových modulov tohto infostealera, ktorá pomohla orgánom činným v trestnom konaní. Hĺbková technická analýza poskytuje lepšie pochopenie vnútorného fungovania tohto impéria malvéru ako služby (MaaS). Výskumníci spoločnosti ESET v spolupráci s orgánmi činnými v trestnom konaní zozbierali viacero modulov používaných na prevádzku infraštruktúry v pozadí RedLine Stealer v roku 2023. Holandská polícia spolu s FBI, Eurojustom a niekoľkými ďalšími orgánmi vykonali 24. októbra 2024 operáciu voči neslávne známej mašinérii RedLine Stealer a jej klonu s názvom META Stealer. Výsledkom tohto globálneho úsilia s názvom Operácia Magnus bolo zrušenie troch serverov v Holandsku, zabavenie dvoch domén, vzatie dvoch osôb do väzby v Belgicku a odtajnenie obvinení voči jednému z údajných páchateľov v Spojených štátoch.

S_1124 T TABS10 Advertisement

Ešte v apríli 2023 sa spoločnosť ESET podieľala na operácii čiastočného narušenia malvéru RedLine, ktorá spočívala v odstránení niekoľkých úložísk GitHub, ktoré sa používali ako dead-drop resolvery pre ovládací panel malvéru. Približne v tom istom čase spoločnosť ESET v spolupráci s kolegami výskumníkmi zo spoločnosti Flare skúmala predtým nezdokumentované backendové moduly tejto malvérovej rodiny. Tieto moduly neinteragujú priamo so škodlivým softvérom, ale spracovávajú autentifikáciu a poskytujú funkcionalitu pre ovládací panel.

„Podarilo sa nám identifikovať viac ako 1 000 jedinečných IP adries, ktoré sa používali na hostovanie ovládacích panelov RedLine. Aj keď môže dôjsť k určitému prekrývaniu, naznačuje to rádovo 1 000 predplatiteľov RedLine MaaS. Verzie RedLine Stealer z roku 2023, ktoré ESET podrobne skúmal, používali na komunikáciu medzi komponentmi Windows Communication Framework, zatiaľ čo najnovšia verzia z roku 2024 využíva REST API. Na základe analýzy zdrojového kódu a vzoriek backendu sme zistili, že RedLine Stealer a META Stealer majú rovnakého tvorcu,“ hovorí Alexandre Côté Cyr, výskumník spoločnosti ESET, ktorý skúmal RedLine a META Stealer.

Tieto jedinečné IP adresy boli použité na hostovanie panelov RedLine. Približne 20 % z nich pripadá na Rusko, Nemecko a Holandsko, zatiaľ čo Fínsko a Spojené štáty predstavujú približne 10 %. Spoločnosti ESET sa tiež podarilo identifikovať viacero odlišných backendových serverov. Na základe ich geografického rozloženia sa tieto servery nachádzajú najmä v Rusku (približne tretina z nich), zatiaľ čo Spojené kráľovstvo, Holandsko a Česká republika predstavujú každá približne 15 % nami identifikovaných serverov.

RedLine Stealer je malvér na kradnutie informácií, ktorý bol prvýkrát objavený v roku 2020 a namiesto toho, aby bol prevádzkovaný centrálne, funguje na modeli MaaS, v ktorom si každý môže kúpiť riešenie na kradnutie informácií na kľúč z rôznych online fór a Telegram kanálov. Klienti, ktorých označujeme ako affiliates, sa môžu rozhodnúť pre mesačné predplatné alebo doživotnú licenciu; výmenou za svoje peniaze získajú ovládací panel, ktorý im generuje vzorky malvéru a funguje ako riadiaci server (C&C). Vygenerované vzorky môžu zhromažďovať veľké množstvo informácií vrátane lokálnych kryptomenových peňaženiek, súborov cookie, uložených prihlasovacích údajov, uložených údajov o kreditných kartách z prehliadačov, uložených údajov zo služieb Steam, Discord a Telegram aj rôznych desktopových aplikácií VPN.

„Použitie hotového riešenia uľahčuje zákazníkom integráciu RedLine Stealer do väčších kampaní. Medzi pozoruhodné príklady patrí vydávanie sa za bezplatné stiahnutie aplikácie ChatGPT v roku 2023 a maskovanie sa za podvody vo videohrách v prvej polovici roku 2024,“ vysvetľuje Côté Cyr.

Pred operáciou Magnus patril RedLine k najrozšírenejším infostealerským malvérom s veľmi veľkým počtom zákazníkov používajúcich jeho ovládací panel. Zdá sa však, že túto MaaS mašinériu ovláda len malý počet ľudí, z ktorých niektorých teraz identifikovali orgány činné v trestnom konaní.

Viac technických informácií si môžete prečítať v anglickom jazyku v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research

O spoločnosti ESET

ESET® poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedInFacebookX.

 

ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať