De Nederlandse politie, samen met de FBI, Eurojust en verschillende andere gerechtsorganisaties, verwijderden op 24 oktober 2024 de beruchte RedLine Stealer en zijn kloon, de META Stealer. Deze wereldwijde inspanning, Operatie Magnus, resulteerde in de verwijdering van drie servers in Nederland, de inbeslagname van twee domeinen, de arrestatie van twee personen in België en het openbaar maken van klachten tegen een van de vermeende daders in de VS.
Na de verwijdering van RedLine Stealer door internationale autoriteiten, publiceert ESET Research zijn onderzoek naar de niet gedocumenteerde backend modules die bij deze verwijdering hielpen. De grondige technische analyse biedt meer inzicht in de interne werking van dit malware-as-a-service (MaaS)-imperium. ESET Research, in samenwerking met het gerecht, verzamelde in 2023 meerdere modules die gebruikt werden om de infrastructuur achter RedLine Stealer te runnen. De Nederlandse politie, samen met de FBI, Eurojust en verschillende andere gerechtsorganisaties, verwijderden op 24 oktober 2024 de beruchte RedLine Stealer en zijn kloon, de META Stealer. Deze wereldwijde inspanning, Operatie Magnus, resulteerde in de verwijdering van drie servers in Nederland, de inbeslagname van twee domeinen, de arrestatie van twee personen in België en het openbaar maken van klachten tegen een van de vermeende daders in de VS.
In april 2023 nam ESET deel aan een gedeeltelijke verstoringsactie van de RedLine-malware. Deze bestond uit het verwijderen van verschillende GitHub-repositories die gebruikt werden als dead-drop resolvers voor het controlepaneel van de malware. Rond die tijd onderzocht ESET Research eerder niet-gedocumenteerde backend modules van deze malwarefamilie in samenwerking met collega’s van Flare. Deze modules interacteerden niet rechtstreeks met de malware, maar verwerkten authenticatie en boden functionaliteiten voor het controlepaneel.
“We identificeerden meer dan 1.000 unieke IP-adressen die gebruikt werden om RedLine-configuratieschermen te hosten. Hoewel er enige overlap kon zijn, suggereerde het zo’n 1.000 abonnees op de RedLine MaaS. De 2023-versies van RedLine Stealer, door ESET grondig onderzocht, gebruikten het Windows Communication Framework voor communicatie tussen de componenten, terwijl de versie uit 2024 een REST API gebruikte. Op basis van de analyse van de broncode en backend-samples stelde ESET vast dat RedLine Stealer en META Stealer dezelfde ontwikkelaar hadden,” zegt ESET-onderzoeker Alexandre Côté Cyr, die de RedLine- en META-stealers onderzocht.
Deze unieke IP-adressen werden gebruikt om RedLine-panelen te hosten, waarvan Rusland, Duitsland en Nederland elk ongeveer 20% van het totaal vertegenwoordigden, terwijl Finland en de Verenigde Staten elk ongeveer 10% vertegenwoordigden. ESET kon ook meerdere afzonderlijke back-end servers identificeren. Die servers bevonden zich voornamelijk in Rusland (ongeveer een derde), terwijl het VK, Nederland en de Tsjechische Republiek elk ongeveer 15% van de servers vertegenwoordigden die ESET identificeerde.
RedLine Stealer is malware die informatie steelt en in 2020 werd ontdekt. In plaats van centraal aangestuurd te zijn, werkte RedLine volgens een MaaS-model waar iedereen een kant-en-klare infostealer-oplossing kon kopen via verschillende online fora en Telegram-kanalen. Klanten, door ESET affiliates genoemd, konden kiezen voor een maandelijks abonnement of een levenslange licentie. Na betaling kregen ze een controlepaneel dat malware-samples genereerde en als een C&C-server fungeerde. De gegenereerde samples konden een grote verscheidenheid aan informatie verzamelen, zoals lokale cryptocurrency-wallets, cookies, opgeslagen inloggegevens en kredietkaartgegevens van browsers, opgeslagen gegevens van Steam, Discord, Telegram en verschillende desktop-VPN-apps.
“Het gebruik van een kant-en-klare oplossing maakt het affiliates makkelijker om RedLine Stealer te integreren in grotere campagnes. Opvallende voorbeelden zijn: het zich voordoen, in 2023, als gratis downloads van ChatGPT en als videogame cheats in de eerste helft van 2024”, zegt Côté Cyr.
Vóór Operation Magnus was RedLine een van de meest verspreide infostealer-malware met een zeer groot aantal affiliates die het controlepaneel gebruikten. De malware-as-a-service-onderneming leek echter te worden georkestreerd door slechts een gering aantal mensen, waarvan sommigen nu door het gerecht geïdentificeerd zijn.
Een gedetailleerde technische analyse is te lezen in de onderzoekblog “Life on a crooked RedLine: Analyzing the infamous infostealer’s backend” op WeLiveSecurity.com. Volg zeker ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
www.welivesecurity.com/Life on a crooked RedLine: Analyzing the infamous infostealer’s backend
Read more