blank

blank

 Relatório de pesquisa de ameaças do FortiGuard Labs

Plataformas afetadas: Windows
Usuários afetados: usuários do Windows
Impacto: Vários dados, incluindo informações confidenciais na máquina comprometida, serão roubados
Nível de gravidade: Médio
FAMÍLIA DE MALWARE: RedLine
ATT&CK IDS: T1127 – Trusted Developer Utilities Proxy ExecutionT1007 – Descoberta de serviço do sistemaT1010 – Descoberta da janela do aplicativoT1016 – Descoberta de configuração de rede do sistemaT1016.001 – Descoberta de conexão com a InternetT1033 – Proprietário do Sistema/Descoberta de UsuárioT1069 – Descoberta de grupos de permissãoT1194 – Spearphishing via serviçoT1102 – Serviço WebT1193 – Anexo de SpearphishingT1555.003 – Credenciais de navegadores da WebT1176 – Extensões do navegadorTA0011 – Comando e Controle

 

Assim como no ano anterior, 2021 terminou com o COVID e 2022 começou com o mesmo. A única diferença é que o mundo agora está lidando com a nova variante Omicron em vez da variante Delta, que surgiu em abril de 2021. Embora supostamente menos letal que seu antecessor, a variante Omicron tem uma taxa de transmissão muito maior e, como resultado, contagens diárias de novos pacientes Omicron tornaram-se uma preocupação global. Isso renovou a preocupação com a pandemia e, como todos aprendemos com tristeza, os agentes de ameaças não se coíbem de usar a miséria e o medo a seu favor.

O FortiGuard Labs recentemente encontrou um arquivo com um nome curioso, “Omicron Stats.exe”, que acabou sendo uma variante do malware Redline Stealer. Este blog analisará o malware Redline Stealer, incluindo o que há de novo nessa variante, suas funções principais, como ele se comunica com seu servidor C2 e como as organizações podem se proteger.

Ladrão de Linha Vermelha

Antes de falarmos especificamente sobre esta nova variante do RedLine Stealer, vamos rever o que sabemos sobre o RedLine Stealer em geral.

Os primeiros relatos do RedLine Stealer remontam a pelo menos março de 2020 e rapidamente se tornou um dos infostealers mais populares vendidos nos mercados digitais subterrâneos. As informações coletadas pelo RedLine Stealer são vendidas no mercado da dark net por apenas 10 dólares americanos por conjunto de credenciais de usuário. O malware surgiu assim que o mundo começou a lidar com o aumento do número de pacientes com COVID e o crescente medo e incerteza que podem fazer com que as pessoas baixem a guarda, o que pode ter levado seus desenvolvedores a usar o COVID como isca.

De acordo com a CIA, inteligência de código aberto, ou OSINT, é inteligência “extraída de material disponível publicamente”, embora possa incluir fontes disponíveis apenas para especialistas ou assinantes. Com base nas informações globais do OSINT coletadas e analisadas pelo FortiGuard Labs, o Redline Stealer atual inclui as seguintes funcionalidades.

Normalmente, essas são as vítimas cujos sistemas foram infectados com qualquer um dos ladrões mencionados acima, devido aos quais as vítimas, sem saber, tiveram suas senhas de conta e detalhes completos do navegador registrados e depois enviados aos operadores do mercado. Geralmente, nesses casos, cada perfil de usuário inclui credenciais de login para contas em portais de pagamento online, serviços de e-banking, compartilhamento de arquivos ou plataformas de redes sociais. Como tal, ele tenta coletar as seguintes informações de navegadores instalados na máquina comprometida, incluindo todos os navegadores baseados em Chromium e todos os navegadores baseados em Gecko (ou seja, Mozilla):

  1. Informações do sistema armazenado:
    1. Login e senhas
    2. Cookies
    3. Formulários de preenchimento automático
    4. Detalhes do agente do usuário do navegador
    5. Informação do cartão de crédito
    6. Histórico do navegador
  2. Clientes FTP instalados
  3. Clientes de mensagens instantâneas instalados
  4. Ele também se envolve na coleta de informações altamente configuráveis ​​com base no caminho e na extensão do arquivo, incluindo a pesquisa em subpastas.
  5. Configura uma lista negra de países onde o Redline Stealer não funcionará
  6. Ele também coleta as seguintes informações da máquina
    1.  IP
    2. IP
    3. País
    4. Cidade
    5. Nome de usuário atual
    6. ID do hardware
    7. Layouts de teclado
    8. Captura de tela
    9. Resolução da tela
    10. Sistema operacional
    11. Configurações do UAC
    12. Agente de usuário
    13. Informações sobre componentes do PC, como placas de vídeo e processadores
    14. Solução antivírus instalada
    15. Dados/Arquivos de pastas comuns, como desktop/downloads, etc.
A variante atual continua a executar todas essas funções. No entanto, esta nova versão inclui alterações e melhorias adicionais, detalhadas abaixo:

Vetor de infecção para a variante RedLine Stealer (Omicron Stats.exe)

Embora não tenhamos conseguido identificar o vetor de infecção para essa variante específica, acreditamos que ele esteja sendo distribuído por e-mail. Sabe-se que as variantes anteriores do RedLine Stealer foram distribuídas em e-mails com temas COVID para atrair vítimas. O nome do arquivo dessa variante atual, “Omicron Stats.exe”, foi usado no momento em que a variante Omicron estava se tornando uma preocupação global, seguindo o padrão das variantes anteriores. E como esse malware está embutido em um documento projetado para ser aberto pela vítima, concluímos que o e-mail também é o vetor de infecção para essa variante.

Vitimologia

Com base nas informações coletadas pelo FortiGuard Labs, as vítimas em potencial dessa variante do RedLine Stealer estão espalhadas por 12 países. Isso indica que se trata de um ataque generalizado e que os agentes da ameaça não visaram organizações ou indivíduos específicos.

Funcionalidade

Depois que o Omicron Stats.exe é executado, ele descompacta os recursos criptografados com DES triplo usando o ECB de modo cifrado e o modo de preenchimento PKCS7. Os recursos descompactados são então injetados no vbc.exe. Ele se copia para C:\Users\[Username]\AppData\Roaming\chromedrlvers.exe e cria a seguinte tarefa agendada para persistência:

schtasks /create /sc minuto /mo 1 /tn “Nania” /tr
“‘C:\Users\[Nome de usuário]\AppData\Roaming\chromedrlvers.exe'” /f

O malware tenta então exfiltrar as seguintes informações do sistema da Instrumentação de Gerenciamento do Windows (WMI):

  • Nome da placa gráfica
  • Fabricante do BIOS, código de identificação, número de série, data de lançamento e versão
  • Fabricante da unidade de disco, modelo, cabeças totais e assinatura
  • Informações do processador (CPU), como ID exclusivo, ID do processador, fabricante, nome, velocidade máxima do clock e informações da placa-mãe
O malware também descriptografa strings com base64 e chave xor “Margented”. As strings descriptografadas são “freelancer.com” e 207[.]32.217.89. Em seguida, ele acessa um servidor de Comando e Controle (C2) (207[.]32[.]217[.]89:14588). Ele usa um cabeçalho exclusivo “Autorização: ns1=d8cc092a9e22f3fc55d63aad32150529” para verificar a si mesmo e o ID descriptografado “freelancer.com” para evitar conexões de outros malwares ou pesquisadores.
blank
Figura 1. Arquivo de configuração da variante RedLine Stealer

O malware procura as seguintes strings na máquina comprometida para localizar pastas relevantes para exfiltração de dados:

  • wallet.dat (informações relacionadas à criptomoeda)
  • carteira (informações relacionadas à criptomoeda)
  • Dados de login
  • Dados da Web
  • Cookies
  • Opera GX Stable
  • Opera GX
blank
Figura 2. Código para pesquisar carteiras de criptomoedas na máquina comprometida

O malware também procura os seguintes arquivos para exfiltração de dados:

  • pasta \Telegram Desktop\tdata, que o Telegram armazena imagens e conversas.
  • %appdata%\discord\Local Storage\leveldb, que armazena o canal Discord e informações específicas do canal que um usuário ingressou, para os seguintes arquivos:
    • arquivos .log e .db
    • Arquivos que correspondem à seguinte expressão regular: [A-Za-z\d]{24}\.[\w-]{6}\.[\w-]{27}

[AZ] é uma expressão regular usada para pesquisar arquivos com nomes usando qualquer alfabeto maiúsculo de AZ
[az] é uma expressão regular usada para procurar arquivos com nomes usando qualquer alfabeto minúsculo de az
\d é uma expressão regular usada para search for any digits
{24} é uma expressão regular usada para corresponder aos tokens anteriores exatamente 24 vezes
\. É uma expressão regular usada para encontrar “.” (\ É uma fuga)
\ w é uma expressão regular usada para encontrar quaisquer caracteres de texto que incluem underscor e

  • Tokens.txt (usado para acesso ao Discord)
blank
Figura 3. Código para pesquisar arquivos de log em %appdata%\discord\Local Storage\leveldb na máquina comprometida

O malware também procura e tenta roubar os seguintes dados armazenados do navegador:

  • Dados de login
  • Dados da Web
  • Detalhes do agente do usuário do navegador
  • Cookies
  • Cookies de extensão
  • Preenchimento automático
  • Informação do cartão de crédito

O malware também tenta coletar as seguintes informações do sistema:

  • Processadores
  • Placas gráficas
  • Total de RAM
  • Programas instalados
  • Processos em execução
  • Idiomas instalados
  • Nome do usuário
  • Versão do Windows instalada
  • Número de série

As variantes do RedLine Stealer roubam credenciais armazenadas para os seguintes aplicativos VPN:

  • NordVPN
  • OpenVPN
  • Proton VPN

Infraestrutura C2

Esta variante usa 207[.]32.217.89 como seu servidor C2 através da porta 14588. Este IP pertence a 1gservers. Ao longo das poucas semanas após o lançamento desta variante, notamos um endereço IP em particular se comunicando com este servidor C2. Alguns dados de telemetria são mostrados abaixo.

Endereço de IP Hora de início Fim do tempo
149.154.167.91 26/11/2021 04:34:54 26/11/2021 10:05:15
149.154.167.91 2021-12-05 12:06:03 2021-12-05 13:19:35
149.154.167.91 2021-12-09 16:18:46 2021-12-09 20:00:13
149.154.167.91 22-12-2021 18:38:18 23/12/2021 11:33:58

 

Este endereço IP 149[.]154.167.91 está localizado na Grã-Bretanha e faz parte da Telegram Messenger Network. Parece que o servidor C2 pode ser controlado pelos operadores Redline através de um serviço de mensagens do Telegram abusado. Essa conclusão não é um grande salto, pois os autores do malware oferecem linhas de compra e suporte dedicadas por meio de seus respectivos grupos de Telegram.

Conclusão

O RedLine Stealer aproveita a atual crise do COVID e espera-se que continue essa tendência. Embora não seja projetado para ter um efeito catastrófico na máquina comprometida, as informações roubadas podem ser usadas para ações maliciosas pelo mesmo cibercriminoso ou vendidas a outro agente de ameaças para atividades futuras. Fique fora da zona vermelha exercendo práticas básicas de segurança, detalhadas abaixo:

Proteções Fortinet

O FortiGuard Labs fornece a seguinte cobertura AV contra a variante RedLine Stealer:

Possível ameaça.PALLASNET.H

O FortiGuard Labs fornece a assinatura IPS “RedLine.Stealer.Botnet” para detectar a comunicação do RedLine Stealer com servidores de Comando e Controle (C2). Observe que a assinatura é definida como “passar” por padrão e precisa ser alternada para “descartar” para bloquear as comunicações com seu C2.

Todos os IOCs de rede são bloqueados pelo cliente WebFiltering.

O FortiEDR bloqueia todos os arquivos maliciosos com base na reputação e detecção comportamental.

Indicadores de comprometimento (IOCs) para esta variante:

SHA2
15FE4385A2289AAF208F080ABB7277332EF8E71EDC68902709AB917945A36740

Rede
207.32.217.89:14588 (C2)

Outros IOCs variantes do RedLine Stealer:

SHA2

891aba61b8fec4005f25d405ddfec4d445213c77fce1e967ba07f13bcbe0dad5

216a733c391337fa303907a15fa55f01c9aeb128365fb6d6d245f7c7ec774100

73942b1b5a8146090a40fe50a67c7c86c739329506db9ff5adc638ed7bb1654e

2af009cdf12e1f84f161a2d4f2b4f97155eb6ec6230265604edbc8b21afb5f1a

bf31d8b83e50a7af3e2dc746c74b85d64ce28d7c33b95c09cd46b9caa4d53cad

b8ebdc5b1e33b9382433151f62464d3860cf8c8950d2f1a0278ef77679a04d3b

8d7883edc608a3806bc4ca58637e0d06a83f784da4e1804e9c5f24676a532a7e

1b4fcd8497e6003009010a19abaa8981366922be96e93a84e30ca2885476ccd7

fdeadd54dd29fe51b251242795c83c4defcdade23fdb4b589c05939ae42d6900

af4bf44056fc0b8c538e1e677ed1453d1dd884e78e1d66d1d2b83abb79ff1161

 

Rede:

hxxps://privatlab[.]com/s/s/nRqOogoYkXT3anz2kbrO/2f6ceecb-a469-40b5-94a2-2c9cc0bc8445-Ewdy5l6RAylbLsgDgrgjNjVbn

hxxps://privatlab[.]com/s/s/3Qa0YRMaVaij07Z8BqzZ/7ca69d4c-c5bb-4ab3-b5a9-87c17b7167b5-86yYgEGqbQMnoszgm0OmgGb6g

hxxp://data-host-coin-8[.]com/files/9476_1641477642_2883[.]exe

hxxp://data-host-coin-8[.]com/files/541_1641407973_7515[.]exe

hxxp://data-host-coin-8[.]com/files/7871_1641415744_5762[.]exe

hxxps://transfer[.]sh/get/HafwDG/rednovi[.]exe

hxxp://91[.]219.63.60/downloads/slot8[.]exe

91.243.32.13:1112 (C2)

185.112.83.21:21142 (C2)

23.88.11.67:54321 (C2)

178.20.44.131:8842 (C2)

91.243.32.94:63073 (C2)

95.143.177.66:9006 (C2)

45.147.230.234:1319 (C2)

31.42.191.60:62868 (C2)

135.181.177.210:16326 (C2)

 

O FortiGuard Labs fornece a seguinte cobertura AV contra as variantes do RedLine Stealer listadas acima:

W32/Agent.A7D6!tr

MSIL/Agente.DFY!tr

W32 / PossibleThreat

Possível ameaça.PALLASNET.H

W32/GenKryptik.FNMI!tr

W32/AgentTesla.FDFF!tr

 

Todos os IOCs de rede são bloqueados pelo cliente WebFiltering.

O FortiEDR bloqueia todos os arquivos com base na reputação e também na detecção comportamental.

Além disso, o FortiGuard Labs também oferece a seguinte cobertura AV contra o malware RedLine Stealer em geral:

MSIL/Redline.5418!tr

W32/Redline.HV!tr

W32/Redline.HU!tr

W32/Redline.HP!tr

W32/Redline.HL!tr

W32/Redline.HT!tr

W32/Redline.AOR!tr

W32/Redline.HQ!tr

W32/Redline.HS!tr

W32/Redline.HM!tr

W32/Redline.HX!tr

W32/Redline.HR!tr

 

Fonte: FortNet

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor