White R0s3 : 5 Novembre 2024 09:15
RedLine Stealer è un infostealer avanzato distribuito come “Malware-as-a-Service” (MaaS), uno strumento creato per raccogliere e sottrarre informazioni sensibili dai dispositivi compromessi.
Identificato per la prima volta nel 2020, RedLine Stealer si è rapidamente diffuso su forum di cybercriminalità e canali Telegram dedicati, diventando uno degli strumenti preferiti da hacker e gruppi criminali. Destinato ai dispositivi Windows, questo malware utilizza principalmente campagne di phishing e software compromessi per infiltrarsi nei sistemi delle vittime creando delle botnet con capacità di “logging” delle attività sui client.
RedLine Stealer estrae credenziali di accesso, informazioni sui browser, contenuti di portafogli di criptovalute e altri dati sensibili, che vengono inviati ai server di comando e controllo (C2) degli attaccanti. L’infrastruttura C2 di RedLine Stealer si avvale di registrazioni falsificate, come contatti e dettagli di registrazione inventati, per ostacolare le indagini e nascondere l’identità dei suoi operatori.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Questa combinazione di tecniche di offuscamento e anonimato rende RedLine Stealer un malware di particolare complessità e pericolosità per le vittime e una sfida per le forze dell’ordine.
Maxim Rudometov, è stato ritenuto il creatore e amministratore di RedLine, identificato e accusato dalle autorità statunitensi grazie a “Operation Magnus“, un’operazione internazionale di contrasto al cyber crime. L’FBI ha rintracciato Rudometov utilizzando un insieme di prove tecniche, tra cui l’analisi delle sue interazioni con server e account online legati al malware. Errori operativi, come l’uso della stessa email per account su diversi forum di hacker e profili personali, hanno portato gli investigatori a collegare l’identità di Rudometov al codice e alle operazioni del malware RedLine.
Le autorità statunitensi hanno emesso un mandato di arresto e lo hanno accusato di frode legata ai dispositivi di accesso, cospirazione per intrusione informatica e riciclaggio di denaro, reati che potrebbero comportare fino a 35 anni di carcere se condannato.
Operation Magnus è un’iniziativa globale di cooperazione tra le forze dell’ordine di Stati Uniti, Paesi Bassi, Regno Unito e altre nazioni, mirata a colpire le infrastrutture dei malware RedLine e MetaStealer. L’operazione, che ha portato allo smantellamento di oltre 1.200 server e alla chiusura di canali Telegram legati alla vendita del malware, rappresenta un grande passo avanti nella lotta alla cybercriminalità.
Grazie alle indagini, le autorità hanno sequestrato dati di accesso, registrazioni e codici sorgente di RedLine, limitando in modo significativo l’operatività del malware.
RedLine Stealer è un programma scritto in .NET, linguaggio che ne facilita la distribuzione e l’esecuzione su sistemi Windows. Una particolarità riscontrata è l’utilizzo di una data di compilazione fittizia impostata al 2047, un espediente che può rendere più difficile l’attribuzione temporale delle attività e ostacolare l’analisi dei ricercatori. All’interno del codice, sono presenti varie classi suddivise in moduli che gestiscono la connessione con il server C2 e la raccolta dei dati dal sistema infetto.
Il malware esegue una serie di controlli per evitare di attaccare dispositivi in aree geografiche specifiche, come la Russia e altre nazioni correlate, implementando un filtro basato sulla configurazione regionale del sistema. Questo è un indizio spesso presente nei malware di origine russa, poiché molti criminali informatici scelgono di escludere i loro Paesi di origine per minimizzare il rischio di attenzione da parte delle forze dell’ordine locali.
RedLine Stealer è dotato di diverse classi per la raccolta di informazioni da applicazioni specifiche, tra cui:
Questi moduli, attivati a seconda della configurazione, mirano a sottrarre dati che potrebbero poi essere utilizzati per vendere l’accesso ad account personali o facilitare ulteriori attacchi.
Per garantire la trasmissione sicura delle informazioni sottratte, RedLine utilizza una serie di classi dedicate alla connessione con il server C2. La classe ConnectionProvider stabilisce e mantiene la connessione, mentre la classe Arguments contiene le credenziali necessarie per identificare il malware sul server. La classe StringDecrypt utilizza algoritmi di decrittazione Base64 e XOR per offuscare gli indirizzi IP e altre stringhe rilevanti, rendendo difficile l’identificazione della destinazione delle comunicazioni.
Dai dati emersi durante l’analisi, sembra che RedLine non proceda con l’esfiltrazione dei dati finché non riesce a stabilire una connessione stabile con il server C2, dimostrando la natura centralizzata della sua operatività.
Il caso RedLine Stealer rappresenta un esempio significativo delle avanzate capacità operative e tecniche dei gruppi criminali, che sfruttano sofisticate infrastrutture e modelli di business come il malware-as-a-service (MaaS) per diffondere minacce di alto livello. Sebbene l’arresto di Maxim Rudometov e l’operazione internazionale che ha colpito la sua infrastruttura abbiano rappresentato un passo importante, la complessità della rete di distribuzione e il modello MaaS continuano a costituire una sfida per le autorità nel bloccare completamente le attività di infostealing.
RedLine Stealer si distingue per la sua capacità di sottrarre informazioni sensibili, dalle credenziali agli asset digitali, fino ai dati specifici di applicazioni come Discord e FileZilla. Il software, reso facilmente accessibile attraverso la vendita come servizio, abbassa le barriere d’ingresso per attori criminali, facilitando il furto di dati e l’avvio di attacchi mirati. Gli indicatori tecnici, come l’esclusione di sistemi configurati in Russia e l’utilizzo di infrastrutture C2 anonimizzate, suggeriscono un’origine russa e testimoniano la sofisticazione dei suoi operatori.
RedLine, con la sua struttura flessibile e la rete di supporto estesa, continuerà a rappresentare una sfida complessa per la security, rendendo essenziale un approccio proattivo per mitigare i rischi legati a malware sempre più mirati e sofisticati.
c7a2de31d6f01d5ba962ce7ba17539d3
30eeb6c732a7e37cbfff0148d2c2457229fb6ef36feb0abb99e2afbfed0d1257
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...
In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...
AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...
Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006