Hachage / InfoValeur
SHA256dcba6e8829dd88d8c8722f9cfe308b1626d7b301ff9a1d97d9fce632f74673cd
MD5dc88c44dc9c76bbf3228cba13f76c161
SHA18bd66e8e85580d14d9ff0b5ba833ae44e343092c
ImpHash1dad3e8a25605e3da6c89bdbab10b2a1
Fichier Adi1
Type de fichierexe
Taille242,688 bytes
Première observation2023-09-27

Tehdit Valeurlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Capacités détectées

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

Étiquettes MalwareBazaar

exeRedlineRedLineStealer

Note d’analyse

Bu ornek RedLine ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RedLine — Profil du malware

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Type de malware
Infostealer
Langage de programmation
.NET C#
Protocole C2
HTTPS
Systèmes ciblés
Windows
Aussi connu sous (AKA)
RedLine Stealer

Détails techniques

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Attribution / Acteur de la menace

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Capacités et comportement

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Liste IOC (2 indicateurs)

IOC — RedLine
# SHA256 dcba6e8829dd88d8c8722f9cfe308b1626d7b301ff9a1d97d9fce632f74673cd # MD5 dc88c44dc9c76bbf3228cba13f76c161
TypeValeurNote
sha256 dcba6e8829dd88d8c8722f9cfe308b1626d7b301ff9a1d97d9fce632f74673cd
md5 dc88c44dc9c76bbf3228cba13f76c161

Serveurs C2 (8 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
github.com domain — HTTP active —
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive —
193.56.255.42 ip 15000 TCP inactive —
5.188.87.39 ip 30000 TCP inactive —
46.205.202.219 ip 1912 TCP inactive —
217.65.2.14 ip 1912 TCP inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
exeRedlineRedLineStealer