Resources

Deep Analysis of Redline Stealer: Leaked Credential with WCF

Date 2022. 03. 03

Executive Summary  

현재 배포 중인 Redline Stealer는 C2 통신 방식과 이전 Redline Stealer에서 수집된 정보를 전달하는 방식을 변경했지만 전체 실행 흐름은 동일합니다.


Redline Stealer에는 C2 Server IP 및 Unique ID 등의 하드 코딩된 데이터 및 이 데이터를 디코딩하는 데 필요한 XOR 키가 있습니다. Redline을 실행하면 값이 먼저 추출됩니다. 그 후, C2 서버로부터 수신한 구성 데이터를 참조해 정보를 수집해 누설해, 수집한 정보를 환경 상세와 자격 상세로 구성합니다. 수집된 정보에는 시스템 정보, 브라우저 자격 정보, 암호 지갑 정보, FTP 정보, 텔레그램 및 불일치 정보 등이 포함됩니다. 


Redline Stealer는 정보를 수집 및 유출한 후 실행 파일을 다운로드하여 추가 악의적인 액션을 수행할 수도 있습니다.


Introduction of Rediline Stealer
Redline Stealer는 2020년 2월 출시 이후 다양한 채널을 통해 전달되고 있습니다. Redline Stealer는 대부분 피싱 이메일이나 텔레그램, 디스커치, 크랙 소프트웨어 등의 설치 파일로 위장한 악성 소프트웨어를 통해 배포됩니다. 그러나 최근에는 유튜브 동영상설명, 구글 광고 등을 악용해 Redline Stealer가 포함된 크롬 익스텐션을 다운로드하는 피싱링크를 활용하거나 FTP를 통해 Redline Stealer를 실행하는 파이썬 스크립트를 배포하고 있습니다.


2020년 10월 출시된 BleepingComputer에 따르면 Redline Stealer는 유튜브 동영상 설명에 올라온 특정 유틸리티 무료 다운로드 관련 악성 링크를 통해 유포됐습니다. 


☑️ Click here to learn more