GETOVERX FORUM Community Support
RedLine Stealer - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: RedLine Stealer (/showthread.php?tid=104)

RedLine Stealer - mrwebfeeder - 12-05-2025

Nombre: RedLine Stealer

Categoría: Infostealer (robo de credenciales y datos)

Fecha de descubrimiento: Alrededor de febrero 2020

Comportamiento (lo que hace y archivos que infecta):
- RedLine es un malware tipo “stealer” ofrecido como servicio (MaaS).
- Su objetivo principal es robar información del equipo, incluyendo:
- Contraseñas guardadas en navegadores.
- Cookies y datos de formularios de autocompletado.
- Wallets de criptomonedas (archivos de wallet y configuraciones asociadas).
- Información de clientes FTP/VPN y otras aplicaciones con credenciales almacenadas.
- Datos de sistema: procesos activos, programas instalados, idioma, IP pública, versión de SO, etc.
- No cifra documentos ni bloquea el sistema; se centra en la exfiltración de información al servidor de comando y control (C2).
- Vectores de infección frecuentes:
- Campañas de phishing con adjuntos maliciosos.
- Descargadores malware (loaders).
- Software “crackeado” y herramientas de activación falsas.
- “Archivos que infecta”:
- No infecta ejecutables como tal; accede y lee:
- Configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets).
- Archivos de credenciales y sesiones.
- Puede crear ficheros temporales en carpetas de usuario para empaquetar la información robada antes de enviarla al C2.

Persistencia:
- Puede copiarse en carpetas de perfil de usuario (por ejemplo, AppData) con nombres que imitan aplicaciones legítimas.
- Añade entradas de inicio automático en:
- Claves de Registro (Run/RunOnce).
- Carpetas de “Startup” del usuario.
- Algunas variantes crean tareas programadas para relanzar el binario periódicamente.
- Otras campañas se ejecutan una sola vez (“smash-and-grab”):
- Roban todo lo posible.
- Exfiltran la información.
- Se eliminan a sí mismas para reducir huella en el sistema.

Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:
Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar un escaneo completo para localizar:
    - El binario principal del stealer.
    - Cualquier dropper asociado u otros componentes auxiliares.
    - Eliminar o poner en cuarentena todos los archivos detectados.
    - Revisar especialmente directorios de usuario (AppData, Temp, Descargas) y rutas donde se ejecutaron adjuntos sospechosos.

  • HIPS / EDR:
    - Habilitar reglas que detecten:
    - Accesos masivos en poco tiempo a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN.
    - Lectura sistemática de múltiples archivos de configuración de diferentes aplicaciones de credenciales.
    - Conexiones HTTP/HTTPS inusuales hacia dominios o IPs desconocidos, justo después de la recopilación de datos.
    - Configurar respuestas automáticas para:
    - Detener (matar) el proceso cuando se detecte comportamiento típico de stealer.
    - Registrar toda la actividad en los logs unificados para análisis forense.

  • Firewall:
    - Bloquear conexiones salientes no autorizadas:
    - Especialmente hacia dominios e IPs reputacionalmente sospechosos o recientemente registrados.
    - Limitar aplicaciones que puedan realizar conexiones directas a Internet sin supervisión.
    - Monitorizar picos de tráfico saliente desde equipos de usuario que puedan indicar exfiltración de datos.

  • Remediación de credenciales:
    - Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo:
    - Correo personal y corporativo.
    - Redes sociales.
    - Banca en línea y servicios financieros.
    - VPN, paneles de hosting, administración de servidores y otros servicios críticos.
    - Activar MFA (autenticación multifactor) donde sea posible para reducir el impacto de credenciales robadas.
    - Revisar accesos recientes a cuentas críticas en busca de actividad sospechosa (logins desde países o IPs inusuales).

  • Sandbox:
    - Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos en el entorno real:
    - Especialmente si provienen de campañas de phishing o de sitios de software “crackeado”.
    - Observar si el archivo:
    - Intenta enumerar credenciales de múltiples aplicaciones.
    - Crea ficheros temporales con datos empaquetados.
    - Establece conexiones salientes a dominios desconocidos para exfiltrar la información.

Notas opcionales:
- RedLine Stealer es una de las familias de infostealer más utilizadas en mercados de malware como servicio, alimentando grandes bases de datos de credenciales robadas que luego se venden o reutilizan en ataques de takeover de cuentas y fraude.