【安全资讯】Redline信息窃密程序分析

引言

RedLine是一种信息窃取恶意软件，通过COVID-19 网络钓鱼电子邮件活动进行传播。该软件在2020年持续活跃，在2021年，还通过恶意谷歌广告和鱼叉式网络钓鱼活动使用不可替代代币NFT，攻击3D或数字艺术家。 RedLine 用途极为广泛，以木马化服务、游戏、漏洞和工具等多种形式出现。许多 RedLine 样本也带有看起来合法的数字证书。 RedLine 恶意软件系列主要通过俄罗斯地下恶意软件论坛分发和销售。此威胁已作为具有多种定价选项的单独软件包出售，或作为基于订阅的定价软件包中的恶意软件即服务 (MaaS) 出售。

简况

研究人员发现，RedLine在过去的几个月中主要通过以下机制交付：

1.初始恶意软件下载器

2.电子邮件恶意垃圾邮件活动

3.托管在Bitbucket上

4.托管在 paste[.]nrecom[.]net 上

5.滥用谷歌广告托管木马诱饵网站

6.作为流行服务“Telegram”和“Signal”

7.使用不可替代代币攻击数字艺术家的社会工程活动

RedLine在连接其恶意C2基础设施以获取进一步设置之前先检查 Internet 连接。完成后，恶意软件将首先对受害者的设备进行指纹识别以获取以下特征：

该恶意软件一旦建立与其命令和控制 (C2) 面板的连接，就可以远程执行以下功能，试图非法窃取受害者的数据：

1.下载更多文件

2.执行和运行PE文件

3.找到特定的 PE 文件执行它们

4.打开请求的链接

5.下载并执行更新

6.通过 CMD.exe 执行请求命令

RedLine 用途极为广泛，以木马化服务、游戏、漏洞和工具等多种形式出现。许多 RedLine 样本也带有看起来合法的数字证书。RedLine恶意软件从网络浏览器、文件传输协议 (FTP) 客户端、即时通讯 (IM)、加密货币钱包、VPN 服务和游戏客户端收集信息，还具有远程功能，可以在受害机器上投放和执行更多恶意软件。

总结

由于 RedLine 信息窃取程序的灵活性，会对企业设备和个人设备造成相当大的损害。 RedLine目前似乎是针对个人及个人计算机的。对IM 服务、游戏客户端、FTP 应用程序和个人加密钱包的攻击体现出这一特点。 然而，这并不意味着 RedLine 无法破坏企业系统或网络。恶意软件的文件抓取器、远程任务和 Web 浏览器窃取器功能都可以被攻击者用来从公司设备中窃取重要信息和数据。目前，这种威胁似乎仍在积极发展，进一步增强其功能。在整个开发和生命周期中，RedLine 已经变得更加复杂。