Hachage / InfoValeur
SHA256cf59bb0d65b42fbd66968ff5b7c97e0d5ab2aff46e672f12f701a22bc9ed904b
MD5e35d508aef7f018999a7b2d60d043795
SHA17bdd2f352486f3cd240a936ceaeb545eb08a1eaf
ImpHash4cea7ae85c87ddc7295d39ff9cda31d1
Fichier Adi41.exe
Type de fichierexe
Taille2,167,808 bytes
Première observation2023-08-19

Tehdit Valeurlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Capacités détectées

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

Étiquettes MalwareBazaar

2-155-18-40-9000exeRedlineRedLineStealer

Note d’analyse

Bu ornek RedLine ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RedLine — Profil du malware

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Type de malware
Infostealer
Langage de programmation
.NET C#
Protocole C2
HTTPS
Systèmes ciblés
Windows
Aussi connu sous (AKA)
RedLine Stealer

Détails techniques

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Attribution / Acteur de la menace

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (2 indicateurs)

IOC — RedLine
# SHA256 cf59bb0d65b42fbd66968ff5b7c97e0d5ab2aff46e672f12f701a22bc9ed904b # MD5 e35d508aef7f018999a7b2d60d043795
TypeValeurNote
sha256 cf59bb0d65b42fbd66968ff5b7c97e0d5ab2aff46e672f12f701a22bc9ed904b
md5 e35d508aef7f018999a7b2d60d043795

Serveurs C2 (8 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
github.com domain — HTTP active —
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive —
193.56.255.42 ip 15000 TCP inactive —
5.188.87.39 ip 30000 TCP inactive —
46.205.202.219 ip 1912 TCP inactive —
217.65.2.14 ip 1912 TCP inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
2-155-18-40-9000exeRedlineRedLineStealer