+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: RedLine Stealer (/showthread.php?tid=105)
RedLine Stealer - mrwebfeeder - 12-05-2025
Nombre: RedLine Stealer
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: Alrededor de febrero 2020
Comportamiento (lo que hace y archivos que infecta):
RedLine es un malware tipo “stealer” vendido como servicio (MaaS). Su principal objetivo es robar credenciales y datos del equipo: contraseñas guardadas en navegadores, cookies, formularios de autocompletado, wallets de criptomonedas, información de clientes FTP/VPN, y datos de sistema (procesos, programas instalados, idioma, IP, etc.). No se dedica a cifrar documentos, sino a extraer información y exfiltrarla al servidor de comando y control (C2). Puede llegar al sistema vía phishing, descargadores maliciosos y software crackeado.
Los “archivos que infecta” suelen ser principalmente configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets, etc.), desde donde extrae credenciales; también puede depositar ficheros temporales en carpetas de usuario para empaquetar la información robada.
Persistencia:
Se han observado técnicas como copiarse en carpetas de perfil de usuario y añadir entradas de inicio automático en Registro o carpetas de “Startup”, además de tareas programadas. Algunas variantes se ejecutan una sola vez, roban todo y se borran para reducir huella.
Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:
Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69Mitigación con GetOverX Shield v3.0.2.0:
- [] Antivirus: Ejecutar un escaneo completo para localizar el binario del stealer y cualquier dropper asociado, eliminándolos del sistema. [] HIPS/EDR: Habilitar reglas que detecten accesos masivos a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN, así como conexiones HTTP/HTTPS inusuales hacia dominios desconocidos. Configurar respuestas automáticas para detener el proceso. [] Firewall: Bloquear conexiones salientes no autorizadas, especialmente hacia dominios o IPs reputacionalmente sospechosos, reduciendo la exfiltración. [] Remediación de credenciales: Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, etc.), activando MFA donde sea posible.
- Sandbox: Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos, especialmente si provienen de campañas de phishing o crack de software.