RedLine Stealer – 什麼是 RedLine 惡意軟件?

RedLine Stealer - What is RedLine Malware?
RedLine Stealer, RedLine malware, Stealer malware
Written by Brendan Smith

RedLine Stealer 是一種惡意程序,旨在從受感染的系統中獲取各種個人信息。 它可能作為獨立的惡意軟件傳播,也可能與其他一些惡意應用程序一起傳播。 此惡意軟件是銀行竊取程序的一個示例。 但是,它也可以深入不同的瀏覽器以獲取其他各種類別的信息。

什麼是竊取者惡意軟件?

Stealer 是一種惡意軟件類型,旨在從受感染的機器上獲取某些特定的數據類型。 此類惡意軟件有時與間諜軟件混淆,然而,後者盡其所能 從系統中獲取。 同時,一些竊取者甚至可以搜索特定文件或特定格式的文件 – 例如,AutoCAD 藍圖或 Maya 項目。 這使他們更有效,但是,他們需要更多的技能和控制才能成功。

竊取者試圖盡可能隱蔽,因為他們的效率在很大程度上取決於他們在系統中停留而未被發現的時間。 當然,某些樣本執行其基本操作然後自毀。 但也有一些會一直運行,除非它們被檢測到或有來自 C&C 服務器的自毀命令。

RedLine 竊取器功能

RedLine 竊取程序的行為通常類似於銀行竊取程序,因為它的主要目標是保存在網絡瀏覽器中的銀行憑據。 為了滿足這一需求,RedLine 能夠深入挖掘任何瀏覽器——包括 Chromium、基於 Gecko 的瀏覽器和其他瀏覽器。 但除了銀行數據外,它還會獲取保存在瀏覽器中的 cookie 和密碼。 儘管如此,沒有多少流行的瀏覽器將後者保留為純文本形式,因此它更多地是為了攻擊替代應用程序的用戶。

RedLine Stealer admin panel

RedLine Stealer 管理面板

然而,Web 瀏覽器並不是該竊取者的唯一信息來源。 與它們一起,RedLine 惡意軟件會掃描設備中的各種應用程序,例如 Telegram、Discord 和 Steam。 它還旨在獲取 FTP/SCP 和 VPN 連接 的憑據。 它的代碼通過逆向工程恢復,還顯示了它掃描加密錢包然後竊取其信息的能力。

在程序結束時,RedLine 收集有關係統的詳細信息 – 操作系統版本、安裝的硬件、軟件列表、IP 地址 等等。 然後,收集到的整個信息包都存儲在 ScanResult 文件夾中。 後者是在與竊取者執行文件相同的目錄中創建的。

紅線技術分析

到達目標機器後,RedLine 惡意軟件會啟動一個進程 – Trick.exe,以及一個控制台窗口實例。 不久之後,它與地址為 newlife957[.]duckdns[.]org[:]7225 的命令和控制服務器建立了連接。 值得注意的是,初始代碼包含相當合法的功能 – 可能取自真實程序。 惡意內容通過初始代碼中的功能動態下載。 這種技巧用於贏得一些時間,以便在初始訪問後禁用系統內部的反惡意軟件解決方案。

TicTacToe RedLine

RedLine 代碼中的 TicTacToe 引用

安裝惡意負載後,惡意軟件所做的第一件事就是檢查 PC 的 IP 地址。 為此,它使用 api[.]ip[.]sb 站點。 如果與其內部黑名單(不允許在其中啟動的國家和 IP 地址)沒有衝突,惡意軟件就會繼續進行進一步的操作。 RedLine 按照配置後收到的列表開始逐步掃描環境。

Scanning sequence Redline stealer

在受感染的 PC 上掃描要竊取的元素的順序

然後,它會形成一個日誌文件,其中包含從受攻擊系統中提取的信息。 無法查看所有詳細信息,因為惡意軟件在數據提取階段具有數據加密功能。 但是,數據類型清晰可見,因此您可以預料到該惡意軟件與惡意軟件共享的內容。

RedLine Stealer 收集的數據類型

函數名稱描述
ScannedBrowser瀏覽器名稱、用戶配置文件、登錄憑據和 cookie
FtpConnections有關目標計算機上存在的 FTP 連接的詳細信息
GameChatFiles與找到的任何遊戲相關的遊戲內聊天文件
GameLauncherFiles已安裝的遊戲啟動器列表
InstalledBrowsers已安裝瀏覽器列表
MessageClientFiles位於目標機器上的消息傳遞客戶端的文件
City檢測到的城市
Country檢測到的國家
File Locationmalware.exe文件執行路徑
Hardware有關已安裝硬件的信息
IPv4受害者 PC 的公共 IPv4 IP 地址
LanguageOS language
ScannedFiles在系統中發現可能有價值的文件
ScreenSize目標系統的屏幕分辨率
函數名稱描述
ScannedWallets有關在系統中找到的錢包的信息
SecurityUtils所有檢測到的防病毒程序的列表和狀態
AvailableLanguages目標 PC 上操作系統版本支持的語言
MachineName目標機器的名稱
Monitor執行瞬間的屏幕截圖
OSVersion有關操作系統版本的信息
NordNordVPN 的憑證
OpenOpenVPN 的憑據
Processes系統中運行的進程列表
SeenBefore檢查報告是關於新受害者還是之前受到攻擊的受害者
TimeZone被攻擊計算機的時區
ZipCode受害者的郵政編碼
Softwares被攻擊 PC 上安裝的程序列表
SystemHardwares有關 PC 配置的詳細信息

不同的研究表明,RedLine 與它所攻擊的瀏覽器並不完全一致。 在 Chrome、Opera、Chromium 和 Chromodo 瀏覽器中觀察到最有效。 在基於 Chromium 以外的其他引擎的應用程序中,有一個基於中文 WebKit 的 360 瀏覽器。 基於 Gecko 引擎的 Web 瀏覽器——Firefox、Waterfox 等——也容易受到攻擊,但竊取者在從中提取數據時有時會遇到問題。

RedLine 惡意軟件以長期留在系統中為目標。 一旦沒有數據留給小偷,許多竊取者都有自我刪除功能。 同時,這個竊取器提供了間諜軟件式的機制:操作員可以命令它自行銷毀,但內部沒有計時器。

RedLine 竊取器 IoC

指標類型描述
newlife957[.]duckdns[.]org[:]7225URLC2網址
1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348HashSHA-256 哈希 – 偽裝(未檢測到)
ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784bHash惡意軟件部分的 SHA-256 哈希值
9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430fHash惡意軟件部分的 SHA-256 哈希值
76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1bHash惡意軟件部分的 SHA-256 哈希值
258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463Hash系統信息採集器的 SHA-256 散列

在野外檢測到廣泛的 RedLine 變體

RedLine 竊取器分佈

正如我之前提到的,RedLine Stealer 可能作為單獨的惡意軟件出現,也可能與其他病毒捆綁在一起。 它的活動在最近一段時間迅速增長,因為它對騙子很方便,甚至可以在表面網絡中輕鬆購買。 例如,它的開發者在 Telegram Messenger 中有一個群組,該惡意軟件以不同的訂閱類型提供。 由於竊取器具有出色的功能,因此這些優惠永遠不會過時。

Redline bot telegram

Telegram Messenger 中的 RedLine 營銷機器人

RedLine Stealer 以獨立形式存在,通常通過電子郵件網絡釣魚進行傳播。 或者,它可能會偽裝成一些流行程序的安裝文件,例如 DiscordTelegram、Steam 和破解的應用程序。 在一個特定案例中,RedLine 顯示為瀏覽器擴展,其下載鏈接嵌入到 YouTube 視頻說明中。 然而,網絡釣魚電子郵件仍然是最有效和最流行的惡意軟件分發形式——RedLine Stealer 也不例外。

The example of a typical fraudulent email

典型釣魚郵件示例

在與其他惡意軟件一起傳播時,RedLine 經常與不同的勒索軟件樣本搭配使用。 然而,捆綁傳播的最大份額發生在 RedLine 與 Djvu 勒索軟件的複合之後。 實際上,這個勒索軟件不僅具有這個竊取器,還具有其他 2 個惡意軟件——SmokeLoader 後門和 Vidar 竊取器。 這樣的軟件包可以帶走所有有價值的數據,並使計算機充滿其他惡意軟件。 並且不要忘記勒索軟件——它已經造成了你文件的混亂。

What is Djvu ransomware?

STOP/Djvu 勒索軟件是長期存在的網絡犯罪集團的一個顯著例子,它主要恐嚇個人。 他們很快在勒索軟件市場上佔據主導地位,在某個時間點在勒索軟件提交總量中的份額超過 75%。 這些天來,它失去瞭如此大的節奏,但仍然像以往一樣危險。 它給用戶設備帶來的額外惡意軟件可能需要補償新受害者數量的減少。 早些時候,他們正在部署 Azorult 竊取程序,但隨後切換到我們之前提到的惡意軟件。

如何保持保護?

了解傳播方式可為您提供預防它的重要指導。 反垃圾電子郵件的方法是眾所周知的,並且有多種可能的方法。 偽裝成合法應用程序傳播的惡意軟件也是如此。 具有獨特性和偶然性的方法是最難避免的,但仍有可能。

垃圾郵件可以很容易地與真正的郵件區分開來。 幾乎每條可疑的消息都試圖模仿真實的公司或您熟悉的發件人。 但是,它無法偽造發件人的地址,也無法預測您是否正在等待那封信。 實際上,他們可以通過初步網絡釣魚確認您可能會收到哪些電子郵件,但這種情況很少見。 因此,看到一封您不應該收到的奇怪信件及其發件人的不尋常地址意味著 有人試圖愚弄你。 如果信息看起來對您有說服力,最好手動檢查一下。

Email spam example

誘餌郵件的典型例子。 附件包含惡意軟件

虛假應用安裝程序不需要您過多關注,但需要您遵守規則。 例如,這些假冒產品通常在 Discord 或 Reddit 等在線社區中傳播。 使用它們是有風險的,尤其是當您可以從官方網站免費獲得相同的安裝程序時。 說到破解程序,您應該記住一件事——天底下沒有免費的東西。 即使破解看起來合法,並且您確定發件人,也最好使用反惡意軟件檢查該文件。 通過添加惡意軟件從應用程序破解中獲利的誘惑很大——無論如何,黑客都是違法的。 另一種解決方案是使用軟件的正版副本——付費並從供應商的網站下載。

Discord virus

通過 Discord 傳播的惡意軟件示例

棘手的方法幾乎無法預測和主動檢測。 但是,文件和擴展不會自動啟動。 一旦發現不確定的情況,最好的決定是使用強大的安全解決方案啟動全面掃描。 如果配備現代掃描系統,它肯定會發現人眼看不到的異常活動。

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

英語 德語 日語 西班牙語 葡萄牙語(巴西) 法語 土耳其語 韓語 印尼語 印地語 義大利語

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending