12-05-2025, 05:05 PM
Nombre:
RedLine Stealer
Categoría:
Infostealer (credenciales, cookies, wallets, información del sistema)
Fecha de descubrimiento:
Aproximadamente 2020
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (RedLine Stealer):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
RedLine Stealer
Categoría:
Infostealer (credenciales, cookies, wallets, información del sistema)
Fecha de descubrimiento:
Aproximadamente 2020
Comportamiento (lo que hace y archivos que infecta):
- Muy usado en campañas de cracks y software pirata, así como en kits de Pay-Per-Install (PPI).
- Roba:
- Contraseñas almacenadas en navegadores, cookies y formularios.
- Datos de aplicaciones como FTP, VPN, mensajería y algunos clientes de juegos.
- Wallets de criptomonedas y extensiones.
- Contraseñas almacenadas en navegadores, cookies y formularios.
- Puede desplegar payloads adicionales (otros stealer, RAT o mineros) después de la infección.
- A menudo se distribuye mediante instaladores falsos de software popular (Adobe, utilidades de sistema, “boosters” de juegos, etc.).
- Copia el binario en
oCode:AppData\Roaming
con nombres que simulan software legítimo.Code:Local\Temp
- Modifica claves de inicio automático en el registro (
) para reiniciarse con Windows.Code:Run
- Algunas variantes instalan certificados raíz falsos o consultan información de hardware para evadir análisis en VM.
Ejemplo de muestra pública (RedLine Stealer):
Code:
556664b3dbcf66d7d831837a8ef6aed3bbaecb80867cf88ed85ceeff2e28f744- Antivirus:
- Ejecutar análisis completo con prioridad en carpetas de usuario y temporales.
- Activar análisis en tiempo real sobre descargas y descompresión de archivos
,Code:.zip
,Code:.rar
que contengan cracks.Code:.7z
- Cuarentenar binarios que se ejecuten desde carpetas temporales o desde subcarpetas no estándar sin firma digital.
- Ejecutar análisis completo con prioridad en carpetas de usuario y temporales.
- Firewall:
- Bloquear conexiones salientes sospechosas hacia IPs o dominios no categorizados cuando el proceso origen no está instalado en
.Code:Program Files
- En entornos corporativos, crear reglas que bloqueen directamente tráfico de stealer conocidos si se disponen de IOCs actualizados.
- Bloquear conexiones salientes sospechosas hacia IPs o dominios no categorizados cuando el proceso origen no está instalado en
- HIPS/EDR:
- Monitorear y alertar cuando un proceso no firmado acceda masivamente a ficheros de credenciales, tokens o wallets.
- Habilitar políticas de “bloqueo por comportamiento” al detectar carga de DLLs de networking y criptografía por procesos situados en rutas de usuario.
- Si se detecta el patrón, matar el proceso y registrar hash, ruta y árbol de procesos (para posible bloqueo futuro).
- Monitorear y alertar cuando un proceso no firmado acceda masivamente a ficheros de credenciales, tokens o wallets.
- Sandbox:
- Ejecutar cracks sospechosos en Sandbox observando si, poco después, se produce tráfico de exfiltración o acceso masivo a perfiles de navegador.
- No mover el ejecutable al entorno de producción si en Sandbox se observa enumeración de wallets o envío de datos a C2.
- Ejecutar cracks sospechosos en Sandbox observando si, poco después, se produce tráfico de exfiltración o acceso masivo a perfiles de navegador.
- Medidas posteriores al incidente:
- Rotar contraseñas de todas las cuentas corporativas y personales usadas en el equipo.
- Revisar accesos recientes a paneles de hosting, banca online y plataformas de pago.
- Verificar que no se han instalado RAT adicionales aprovechando el acceso de RedLine.
- Revisar políticas internas para prohibir formalmente el uso de software crackeado o activado con KMSPICO.
- Rotar contraseñas de todas las cuentas corporativas y personales usadas en el equipo.