Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

  • V rámci operácie Magnus pred niekoľkými dňami holandská polícia spolu s FBI, Eurojustom a niekoľkými ďalšími orgánmi vykonali zásah proti neslávne známej infostealerovej mašinérii RedLine Stealer.
  • V roku 2023 výskumníci spoločnosti ESET v spolupráci s orgánmi činnými v trestnom konaní zhromaždili viaceré moduly používané na prevádzku infraštruktúry, ktorá stála za operáciami RedLine Stealer.
  • Tieto doteraz nezdokumentované moduly ESET analyzoval, aby získal prehľad o vnútornom fungovaní tohto impéria malvéru ako služby (MaaS).
  • Výskumníkom spoločnosti ESET sa podarilo identifikovať viac ako 1 000 jedinečných IP adries používaných na umiestnenie riadiacich panelov RedLine.
  • Na základe vlastnej analýzy zdrojového kódu a vzoriek backendu spoločnosť ESET zistila, že RedLine Stealer a ďalší META Stealer majú spoločného tvorcu.
  • RedLine Stealer dokáže zhromažďovať veľké množstvo informácií vrátane lokálnych kryptomenových peňaženiek, cookies, uložených prihlasovacích údajov a uložených údajov o kreditných kartách z prehliadačov, uložených údajov zo služieb Steam, Discord a Telegram aj rôznych desktopových VPN aplikácií.

Po rozložení RedLine Stealer medzinárodnými orgánmi výskumníci spoločnosti ESET zverejnili svoju analýzu doposiaľ nezdokumentovaných backendových modulov tohto infostealera, ktorá pomohla orgánom činným v trestnom konaní. Hĺbková technická analýza poskytuje lepšie pochopenie vnútorného fungovania tohto impéria malvéru ako služby (MaaS). Výskumníci spoločnosti ESET v spolupráci s orgánmi činnými v trestnom konaní zozbierali viacero modulov používaných na prevádzku infraštruktúry v pozadí RedLine Stealer v roku 2023. Holandská polícia spolu s FBI, Eurojustom a niekoľkými ďalšími orgánmi vykonali 24. októbra 2024 operáciu voči neslávne známej mašinérii RedLine Stealer a jej klonu s názvom META Stealer. Výsledkom tohto globálneho úsilia s názvom Operácia Magnus bolo zrušenie troch serverov v Holandsku, zabavenie dvoch domén, vzatie dvoch osôb do väzby v Belgicku a odtajnenie obvinení voči jednému z údajných páchateľov v Spojených štátoch.

Ešte v apríli 2023 sa spoločnosť ESET podieľala na operácii čiastočného narušenia malvéru RedLine, ktorá spočívala v odstránení niekoľkých úložísk GitHub, ktoré sa používali ako dead-drop resolvery pre ovládací panel malvéru. Približne v tom istom čase spoločnosť ESET v spolupráci s kolegami výskumníkmi zo spoločnosti Flare skúmala predtým nezdokumentované backendové moduly tejto malvérovej rodiny. Tieto moduly neinteragujú priamo so škodlivým softvérom, ale spracovávajú autentifikáciu a poskytujú funkcionalitu pre ovládací panel.

„Podarilo sa nám identifikovať viac ako 1 000 jedinečných IP adries, ktoré sa používali na hostovanie ovládacích panelov RedLine. Aj keď môže dôjsť k určitému prekrývaniu, naznačuje to rádovo 1 000 predplatiteľov RedLine MaaS. Verzie RedLine Stealer z roku 2023, ktoré ESET podrobne skúmal, používali na komunikáciu medzi komponentmi Windows Communication Framework, zatiaľ čo najnovšia verzia z roku 2024 využíva REST API. Na základe analýzy zdrojového kódu a vzoriek backendu sme zistili, že RedLine Stealer a META Stealer majú rovnakého tvorcu,“ hovorí Alexandre Côté Cyr, výskumník spoločnosti ESET, ktorý skúmal RedLine a META Stealer.

Tieto jedinečné IP adresy boli použité na hostovanie panelov RedLine. Približne 20 % z nich pripadá na Rusko, Nemecko a Holandsko, zatiaľ čo Fínsko a Spojené štáty predstavujú približne 10 %. Spoločnosti ESET sa tiež podarilo identifikovať viacero odlišných backendových serverov. Na základe ich geografického rozloženia sa tieto servery nachádzajú najmä v Rusku (približne tretina z nich), zatiaľ čo Spojené kráľovstvo, Holandsko a Česká republika predstavujú každá približne 15 % nami identifikovaných serverov.

RedLine Stealer je malvér na kradnutie informácií, ktorý bol prvýkrát objavený v roku 2020 a namiesto toho, aby bol prevádzkovaný centrálne, funguje na modeli MaaS, v ktorom si každý môže kúpiť riešenie na kradnutie informácií na kľúč z rôznych online fór a Telegram kanálov. Klienti, ktorých označujeme ako affiliates, sa môžu rozhodnúť pre mesačné predplatné alebo doživotnú licenciu; výmenou za svoje peniaze získajú ovládací panel, ktorý im generuje vzorky malvéru a funguje ako riadiaci server (C&C). Vygenerované vzorky môžu zhromažďovať veľké množstvo informácií vrátane lokálnych kryptomenových peňaženiek, súborov cookie, uložených prihlasovacích údajov, uložených údajov o kreditných kartách z prehliadačov, uložených údajov zo služieb Steam, Discord a Telegram aj rôznych desktopových aplikácií VPN.

„Použitie hotového riešenia uľahčuje zákazníkom integráciu RedLine Stealer do väčších kampaní. Medzi pozoruhodné príklady patrí vydávanie sa za bezplatné stiahnutie aplikácie ChatGPT v roku 2023 a maskovanie sa za podvody vo videohrách v prvej polovici roku 2024,“ vysvetľuje Côté Cyr.

Pred operáciou Magnus patril RedLine k najrozšírenejším infostealerským malvérom s veľmi veľkým počtom zákazníkov používajúcich jeho ovládací panel. Zdá sa však, že túto MaaS mašinériu ovláda len malý počet ľudí, z ktorých niektorých teraz identifikovali orgány činné v trestnom konaní.

Viac technických informácií si môžete prečítať v anglickom jazyku v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.