I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, a seguito dello smantellamento di RedLine Stealer da parte delle autorità internazionali, hanno reso pubblica la ricerca sui moduli di backend di questo infostealer, finora non documentati. L’analisi tecnica offre una comprensione più ampia del funzionamento di questo impero del malware-as-a-service (MaaS). Nel 2023, i ricercatori di ESET, in collaborazione con le forze dell’ordine, avevano raccolto diversi moduli utilizzati per gestire l’infrastruttura di RedLine Stealer.
RedLine Stealer: ESET ha identificato 1.000 indirizzi IP univoci utilizzati per ospitare i pannelli di controllo del malware
Il 24 ottobre 2024, nell’ambito dell’Operazione Magnus, la polizia olandese, l’FBI, Eurojust e altre organizzazioni di contrasto hanno smantellato le operazioni del RedLine Stealer e del suo clone META Stealer. Questa operazione globale ha portato allo smantellamento di tre server nei Paesi Bassi, al sequestro di due domini, all’arresto di due persone in Belgio e alla formalizzazione delle accuse contro un presunto autore negli Stati Uniti.
Ad aprile 2023, ESET aveva partecipato a un’operazione di interruzione parziale del malware RedLine, rimuovendo diversi repository GitHub utilizzati come “dead-drop resolvers” per il pannello di controllo del malware. In quel periodo, ESET Research aveva analizzato, in collaborazione con i ricercatori di Flare, moduli di backend di questa famiglia di malware mai documentati prima. Questi moduli non interagiscono direttamente con il malware, ma gestiscono l’autenticazione e offrono funzionalità per il pannello di controllo.
“Siamo riusciti a identificare oltre 1.000 indirizzi IP univoci utilizzati per ospitare i pannelli di controllo di RedLine. Le versioni del 2023 del RedLine Stealer analizzate da ESET utilizzavano il Windows Communication Framework per le comunicazioni tra i componenti, mentre l’ultima versione del 2024 si avvale di un’API REST. Dall’analisi del codice sorgente e dei campioni di backend, abbiamo determinato che RedLine Stealer e META Stealer sono stati ideati dalla stessa fonte”, spiega Alexandre Côté Cyr, ricercatore di ESET che ha studiato i due infostealer.
Gli indirizzi IP identificati ospitavano i pannelli di RedLine, con il 20% localizzato rispettivamente in Russia, Germania e Paesi Bassi, e il 10% negli Stati Uniti e in Finlandia. ESET ha inoltre identificato diversi server backend distinti, per lo più distribuiti in Russia (circa un terzo), mentre Regno Unito, Paesi Bassi e Repubblica Ceca rappresentano ciascuno il 15% circa.
Un malware che operava dal 2020
RedLine Stealer è un malware creato per il furto di informazioni, scoperto nel 2020. Non è centralizzato, ma opera secondo un modello MaaS in cui chiunque può acquistare una soluzione chiavi in mano su vari forum online e canali Telegram. I clienti, definiti affiliati, possono scegliere tra un abbonamento mensile o una licenza a vita. In cambio, ricevono un pannello di controllo che genera campioni di malware e funge da server Command & Control (C&C). I campioni generati possono raccogliere una vasta gamma di informazioni, come portafogli di criptovalute locali, cookie, credenziali e dettagli di carte di credito salvati nei browser, oltre a dati di Steam, Discord, Telegram e diverse applicazioni desktop VPN.
“L’uso di una soluzione già pronta semplifica per gli affiliati l’integrazione di RedLine Stealer in campagne più ampie. Esempi significativi includono, nel 2023, la distribuzione sotto forma di falsi download gratuiti di ChatGPT o, nella prima metà del 2024, come cheat per videogiochi”, aggiunge Côté Cyr.
Prima dell’Operazione Magnus, RedLine era uno degli infostealer più diffusi, con un numero molto elevato di affiliati che utilizzavano il relativo pannello di controllo. Tuttavia, sembra che l’intera impresa di malware-as-a-service fosse orchestrata da un numero ristretto di individui, alcuni dei quali sono stati ora identificati dalle forze dell’ordine.
