RedLine Stealer – Was ist RedLine Malware?

RedLine Stealer - What is RedLine Malware?
RedLine Stealer, RedLine malware, Stealer malware
Written by Brendan Smith

RedLine Stealer ist ein bösartiges Programm, das darauf abzielt, verschiedene persönliche Informationen vom infizierten System zu stehlen. Es kann als eigenständige Malware verbreitet werden, sowie zusammen mit anderen bösartigen Apps. Diese Malware ist ein Beispiel für einen Banking-Stealer. Allerdings kann sie auch in verschiedene Browser eindringen, um verschiedene andere Arten von Informationen zu stehlen.

Was ist Stealer-Malware?

Stealer ist eine Art von Malware, die darauf abzielt, bestimmte Datentypen vom infizierten Computer zu stehlen. Diese Art von Malware wird manchmal mit Spyware verwechselt, aber letztere greift alles ab, was sie vom System bekommen kann. Einige Stealer können jedoch auch nach bestimmten Dateien oder Dateiformaten suchen. Das macht sie effektiver, erfordert aber mehr Fähigkeiten und Kontrolle, um erfolgreich zu sein.

Stealer versuchen so unauffällig wie möglich zu sein, da ihre Effizienz stark davon abhängt, wie lange sie im System ohne Entdeckung verbleiben. Sicher, einige Proben führen ihre grundlegenden Operationen aus und zerstören sich dann selbst. Aber es gibt auch solche, die weiterhin laufen, es sei denn, sie werden erkannt oder es gibt einen Selbstzerstörungsbefehl vom C&C-Server.

RedLine Stealer-Funktionalität

RedLine Stealer agiert im Allgemeinen wie ein Banken-Stealer, da es sich primär auf Bankdaten konzentriert, die in Webbrowsern gespeichert sind. Um diesen Bedarf zu erfüllen, hat RedLine die Fähigkeit, tief in jeden Browser einzudringen – sowohl in Chromium, Gecko-basierte als auch andere. Aber neben den Bankdaten greift es auch auf Cookies und Passwörter zu, die im Browser gespeichert sind. Dennoch behalten nicht viele beliebte Browser letztere in Klartextform, sodass es eher darum geht, Benutzer alternativer Apps anzugreifen.

RedLine Stealer admin panel

Verwaltungsausschuss von RedLine Stealer

Webbrowser sind jedoch nicht die einzige Informationsquelle für diesen Stealer. Zusammen mit ihnen durchsucht die RedLine-Malware das Gerät nach verschiedenen Apps wie Telegram, Discord und Steam. Es zielt auch darauf ab, Anmeldeinformationen für FTP/SCP- und VPN-Verbindungen zu erfassen. Sein Code, der durch Reverse Engineering wiederhergestellt wurde, zeigt auch seine Fähigkeit, nach Kryptowallets zu suchen und dann ihre Informationen zu stehlen.

Am Ende eines Verfahrens sammelt RedLine detaillierte Informationen über das System – Betriebssystemversion, installierte Hardware, die Liste der Software, IP-Adresse und so weiter. Dann wird das gesamte Paket der gesammelten Informationen im ScanResult-Ordner gespeichert. Letzteres wird im gleichen Verzeichnis wie die Stealer-Datei erstellt.

RedLine Tech Analyse

Nachdem es den Zielcomputer erreicht hat, startet die RedLine-Malware einen einzigen Prozess namens Trick.exe und eine einzige Instanz eines Konsolenfensters. Kurz darauf stellt sie eine Verbindung mit dem Command-and-Control-Server unter der Adresse newlife957[.]duckdns[.]org[:]7225 her. Es ist erwähnenswert, dass der anfängliche Code ziemlich legitime Funktionen enthält, die wahrscheinlich aus einem echten Programm stammen. Schädliche Inhalte werden dynamisch über die Funktionalität im anfänglichen Code heruntergeladen. Dieser Trick wird verwendet, um etwas Zeit zu gewinnen, um die Anti-Malware-Lösungen im System nach dem initialen Zugriff zu deaktivieren.

TicTacToe RedLine

TicTacToe-Referenzen im RedLine-Code

Wenn die schädliche Nutzlast installiert ist, überprüft die Malware zuerst die IP-Adresse des PCs. Sie verwendet dafür die Website api[.]ip[.]sb. Wenn es keine Konflikte mit ihren internen Blacklists gibt – Länder und IP-Adressen, die nicht zum Starten zugelassen sind – geht die Malware zu weiteren Operationen über. RedLine beginnt damit, die Umgebung schrittweise zu scannen und der erhaltenen Konfigurationsliste zu folgen.

Scanning sequence Redline stealer

Reihenfolge der Suche nach zu stehlenden Elementen auf dem infizierten PC

Dann erstellt sie eine Protokolldatei, die die aus dem angegriffenen System extrahierten Informationen enthält. Es ist nicht möglich, alle Details zu sehen, da die Malware bei der Datenaufbereitung eine Datenverschlüsselung verwendet. Die Datentypen sind jedoch deutlich sichtbar, daher kann man erwarten, was diese Malware mit den Schurken teilt.

Von RedLine Stealer erfasste Datentypen

Name der FunktionBeschreibung
ScannedBrowserBrowsername, Benutzerprofil, Anmeldedaten und Cookies
FtpConnectionsDetails zu FTP-Verbindungen auf dem Zielrechner
GameChatFilesDateien von In-Game-Chats im Zusammenhang mit gefundenen Spielen
GameLauncherFilesDie Liste der installierten Spielstarter
InstalledBrowsersListe der installierten Browser
MessageClientFilesDateien von Messaging-Clients auf dem Zielrechner
CityErkannte Stadt
CountryErkanntes Land
File LocationDer Pfad, in dem die .exe-Datei der Malware ausgeführt wird
HardwareInformationen über die installierte Hardware
IPv4Öffentliche IPv4-IP-Adresse des Opfer-PCs
LanguageOS-Sprache
ScannedFilesMöglicherweise wertvolle Dateien im System gefunden
ScreenSizeBildschirmauflösung des Zielsystems
Name der FunktionBeschreibung
ScannedWalletsInformationen über die im System gefundenen Geldbörsen
SecurityUtilsListe und Status aller erkannten Antivirenprogramme
AvailableLanguagesSprachen, die von der Betriebssystemversion auf dem Ziel-PC unterstützt werden
MachineNameName des Zielrechners
MonitorDer Screenshot des Bildschirms im Moment der Ausführung
OSVersionInformationen über die Version des Betriebssystems
NordAnmeldeinformationen für NordVPN
OpenAnmeldeinformationen für OpenVPN
ProcessesListe der im System laufenden Prozesse
SeenBeforePrüfen Sie, ob es sich bei der Meldung um ein neues Opfer handelt oder um das, das bereits früher angegriffen wurde
TimeZoneZeitzone des angegriffenen Computers
ZipCodePostleitzahl des Opfers
SoftwaresListe der auf dem angegriffenen PC installierten Programme
SystemHardwaresDetails zur PC-Konfiguration

Unterschiedliche Untersuchungen zeigen, dass RedLine nicht vollständig kompatibel mit den Browsern ist, die es angreift. Die größte Effektivität wird bei Chrome, Opera, Chromium und Chromodo Browsern beobachtet. Unter den Apps, die auf anderen Engines als Chromium basieren, gibt es den chinesischen WebKit-basierten 360Browser. Webbrowser auf der Gecko-Engine – Firefox, Waterfox und so weiter – sind ebenfalls anfällig, aber der Stealer hat manchmal Probleme beim Extrahieren von Daten aus ihnen.

RedLine Malware orientiert sich an einem langfristigen Verbleib im System. Viele Stealer haben eine Selbstentfernungs-Funktionalität, sobald keine Daten mehr gestohlen werden können. Dieser Stealer bietet jedoch einen Mechanismus im Spionage-Stil: ein Operator kann ihn anweisen, sich selbst zu zerstören, aber es gibt keine Timer.

RedLine Stealer IoC

IndikatorTypBeschreibung
newlife957[.]duckdns[.]org[:]7225URLC2 URL
1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348HashSHA-256-Hash – Verschleierung (unentdeckt)
ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784bHashSHA-256-Hash des Malware-Teils
9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430fHashSHA-256-Hash des Malware-Teils
76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1bHashSHA-256-Hash des Malware-Teils
258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463HashSHA-256-Hash des Systeminfo-Grabbers

Weit verbreitete RedLine-Varianten in freier Wildbahn entdeckt

RedLine Stealer Distribution

Wie bereits erwähnt, kann RedLine Stealer sowohl als einzelne Malware als auch im Bundle mit anderen Viren auftreten. Seine Aktivität hat in der letzten Zeit rapide zugenommen, da er für Gauner bequem ist und sogar im Surface Web leicht erworben werden kann. So haben seine Entwickler beispielsweise eine Gruppe im Telegram-Messenger, wo diese Malware in verschiedenen Abonnementtypen angeboten wird. Da der Stealer über eine herausragende Funktionalität verfügt, werden diese Angebote nie langweilig.

Redline bot telegram

RedLine Marketing-Bot im Telegram Messenger

RedLine Stealer wird in der Regel durch E-Mail-Phishing verbreitet. Alternativ kann er als Installationsdatei einiger beliebter Programme getarnt sein, wie Discord, Telegram, Steam und gecrackte Apps. In einem speziellen Fall trat RedLine als Browsererweiterung auf, und der Download-Link wurde in die Beschreibung eines YouTube-Videos eingebettet. Phishing-E-Mail-Nachrichten bleiben jedoch die potenteste und beliebteste Form der Malware-Verteilung – und RedLine Stealer ist keine Ausnahme.

The example of a typical fraudulent email

Das Beispiel einer typischen Phishing-E-Mail

Wenn es darum geht, sich zusammen mit anderer Malware zu verbreiten, wird RedLine oft mit verschiedenen Ransomware-Mustern kombiniert. Der größte Anteil an in-Bundle-Verbreitung erfolgt jedoch nach der Kombination von RedLine mit Djvu-Ransomware. Tatsächlich umfasst diese Ransomware nicht nur diesen Stealer, sondern auch 2 andere Malware – SmokeLoader Backdoor und Vidar Stealer. Ein solches Paket kann jedes wertvolle Datum wegnehmen und den Computer mit anderer Malware überschwemmen. Und vergessen Sie nicht die Ransomware – das wird bereits ein Durcheinander Ihrer Dateien schaffen.

Was ist Djvu-Ransomware?

STOP/Djvu-Ransomware ist ein bemerkenswertes Beispiel für eine langjährige Cyberkriminelle-Gruppe, die hauptsächlich Einzelpersonen terrorisiert. Sie haben schnell eine dominante Position auf dem Ransomware-Markt erlangt und erreichten zu einem bestimmten Zeitpunkt einen Anteil von über 75% an insgesamt eingereichten Ransomware-Fällen. Inzwischen hat es an Tempo verloren, bleibt aber genauso gefährlich wie zuvor. Die zusätzliche Malware, die sie auf das Benutzergerät bringen, wird wahrscheinlich benötigt, um den Rückgang der Anzahl neuer Opfer auszugleichen. Früher haben sie Azorult Stealer eingesetzt, sind dann aber auf die von uns erwähnte Malware umgestiegen.

Wie kann man sich schützen?

Wenn man die Verbreitungswege kennt, erhält man eine gute Anleitung, wie man sie verhindern kann. Die Methoden zur Bekämpfung von E-Mail-Spam sind wohlbekannt und bieten eine große Vielfalt an möglichen Vorgehensweisen. Das Gleiche gilt für die Verbreitung von Malware unter dem Deckmantel einer legitimen Anwendung. Methoden, die sich durch einzigartige und gelegentliche Vorgehensweisen auszeichnen, sind am schwersten zu vermeiden, aber es ist dennoch möglich.

Spam-E-Mails können leicht von echten Nachrichten unterschieden werden. Fast jede verdächtige Nachricht versucht, das echte Unternehmen oder den vertrauten Absender zu imitieren. Es kann jedoch nicht die Absenderadresse fälschen oder vorhersagen, ob Sie auf diesen Brief warten. Tatsächlich können sie durch vorbereitendes Phishing erkennen, welche E-Mails Sie erhalten können, aber diese Situation ist ziemlich selten. Wenn Sie also einen seltsamen Brief mit einer ungewöhnlichen Absenderadresse erhalten, den Sie nicht erwarten, bedeutet das, dass jemand versucht, Sie zu täuschen. Wenn die Informationen für Sie überzeugend aussehen, ist es besser, die Dinge manuell zu überprüfen.

Email spam example

Ein typisches Beispiel für eine Köder-E-Mail. Die angehängte Datei enthält Malware

Falsche App-Installer erfordern nicht viel Aufmerksamkeit, erfordern jedoch, dass Sie die Regeln befolgen. Diese Fälschungen werden oft in Online-Communities wie Discord oder Reddit verbreitet. Die Verwendung solcher Installer ist riskant, insbesondere wenn Sie denselben Installer kostenlos von der offiziellen Website erhalten können. Wenn es um geknackte Programme geht, sollten Sie sich daran erinnern, dass nichts auf der Welt kostenlos ist. Selbst wenn der Crack legitim aussieht und Sie sicher sind, dass er vom Sender stammt, sollten Sie die Datei mit Anti-Malware-Software überprüfen. Es besteht eine große Versuchung, das App-Cracking durch das Hinzufügen von Malware zu monetarisieren – Hacker brechen sowieso das Gesetz. Eine andere Lösung besteht darin, echte Kopien der Software zu verwenden – bezahlt und heruntergeladen von der Website des Anbieters.

Discord virus

The example of malware spreading through Discord

Trickreiche Wege sind fast unmöglich vorherzusagen und proaktiv zu erkennen. Allerdings werden die Dateien und Erweiterungen nicht automatisch gestartet. Sobald Sie eine Situation sehen, bei der Sie sich nicht sicher sind, ist die beste Entscheidung, einen vollständigen Scan mit einer leistungsstarken Sicherheitslösung zu starten. Ein modernes Scansystem wird mit Sicherheit ungewöhnliche Aktivitäten aufdecken, die für das menschliche Auge nicht sichtbar sind.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

Englisch Japanisch Spanisch Portugiesisch, Brasilien Französisch Türkisch Traditionelles Chinesisch Koreanisch Indonesisch Hindi Italienisch

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending