RedLine Stealer – Apa itu Malware RedLine?

RedLine Stealer - What is RedLine Malware?
RedLine Stealer, RedLine malware, Stealer malware
Written by Brendan Smith

RedLine Stealer adalah program berbahaya yang bertujuan untuk mencuri berbagai informasi pribadi dari sistem yang terinfeksi. Ini dapat menyebar sebagai malware mandiri, serta bersama dengan beberapa aplikasi berbahaya lainnya. Malware ini merupakan contoh dari stealer perbankan. Namun, malware ini juga dapat menggali informasi lain dari berbagai browser.

Apa yang dimaksud dengan malware pencuri?

Stealer adalah jenis malware yang menargetkan untuk mencuri beberapa jenis data tertentu dari mesin yang terinfeksi. Kelas malware ini kadang-kadang disamakan dengan spyware, namun yang terakhir mengambil semua yang bisa diambil dari sistem. Sementara itu, beberapa stealers dapat mencari bahkan file tertentu atau file dengan format tertentu – misalnya, blueprint AutoCAD atau proyek Maya. Hal ini membuat mereka lebih efektif, namun mereka memerlukan lebih banyak keterampilan dan kontrol untuk berhasil.

Stealers mencoba untuk menjadi sehalus mungkin karena efektivitas mereka sangat bergantung pada waktu mereka tetap berada dalam sistem tanpa terdeteksi. Tentu saja, sampel tertentu melakukan operasi dasar mereka dan kemudian hancur sendiri. Namun, ada juga yang terus berjalan kecuali mereka terdeteksi atau ada perintah penghancuran diri dari server C&C.

Fungsionalitas RedLine Stealer

RedLine stealer umumnya berperilaku seperti pencuri perbankan, karena target utamanya adalah kredensial perbankan yang disimpan di browser web. Untuk memenuhi kebutuhan ini, RedLine memiliki kemampuan untuk menggali informasi dalam setiap jenis browser – baik berbasis Chromium, Gecko, atau yang lainnya. Namun, selain data perbankan, ia juga mengambil cookies dan password yang disimpan di browser. Namun, tidak banyak browser populer yang menyimpan password dalam bentuk plain text, sehingga lebih banyak menyerang pengguna aplikasi alternatif.

RedLine Stealer admin panel

Panel administratif RedLine Stealer

Namun, browser web bukan satu-satunya sumber informasi untuk pencuri ini. Selain browser, malware RedLine juga memindai perangkat untuk berbagai aplikasi, seperti Telegram, Discord, dan Steam. Ia juga bertujuan untuk mencuri kredensial untuk koneksi FTP/SCP dan VPN. Kode miliknya, yang ditemukan melalui teknik reverse engineering, juga menunjukkan kemampuannya untuk memindai dompet kripto dan mencuri informasi dari sana.

Pada akhir prosedur, RedLine mengumpulkan informasi terperinci tentang sistem, seperti versi OS, perangkat keras yang terpasang, daftar perangkat lunak, alamat IP, dan sebagainya. Kemudian, seluruh paket informasi yang terkumpul disimpan di folder ScanResult. Folder tersebut dibuat di direktori yang sama dengan file eksekutif pencuri.

Analisis Teknologi RedLine

Trick.exe, dan satu instansi jendela konsol. Tak lama kemudian, malware ini menjalin koneksi dengan server perintah dan kontrol di alamat newlife957[.]duckdns[.]org[:]7225. Hal yang patut diperhatikan adalah bahwa kode awal mengandung fungsi yang cukup legal – kemungkinan diambil dari program asli. Konten berbahaya diunduh secara dinamis melalui fungsionalitas pada kode awal. Trik seperti ini digunakan untuk memenangkan waktu guna menonaktifkan solusi anti-malware di dalam sistem setelah akses awal.

TicTacToe RedLine

Referensi TicTacToe dalam kode RedLine

Setelah payload jahat terpasang, hal pertama yang dilakukan malware adalah memeriksa alamat IP PC. Ia menggunakan situs api[.]ip[.]sb untuk tujuan itu. Jika tidak ada konflik dengan blacklist internalnya – negara dan alamat IP yang tidak diizinkan untuk diluncurkan – malware melanjutkan ke operasi selanjutnya. RedLine memulai pemindaian lingkungan langkah demi langkah, mengikuti daftar yang diterima setelah dikonfigurasi.

Scanning sequence Redline stealer

Urutan pemindaian elemen yang akan dicuri pada PC yang terinfeksi

Kemudian, ia membentuk file log yang berisi informasi yang diekstraksi dari sistem yang diserang. Tidak mungkin melihat semua detailnya, karena malware mengenkripsi data pada tahap ekstraksi data. Namun, tipe data terlihat dengan jelas, sehingga Anda bisa memperkirakan apa yang malware ini bagikan dengan penjahat.

Jenis data yang dikumpulkan oleh RedLine Stealer

Nama fungsi Deskripsi
ScannedBrowser Nama browser, profil pengguna, kredensial masuk, dan cookie
FtpConnections Detail tentang koneksi FTP yang ada pada mesin target
GameChatFiles File obrolan dalam game yang terkait dengan game apa pun yang ditemukan
GameLauncherFiles Daftar peluncur game yang terinstal
InstalledBrowsers Daftar browser yang terinstal
MessageClientFiles File klien perpesanan yang berada di mesin target
City Kota yang terdeteksi
Country Negara yang terdeteksi
File Location Jalur di mana file .exe malware dieksekusi
Hardware Informasi tentang perangkat keras yang terpasang
IPv4 Alamat IPv4 publik dari PC korban
Language Bahasa OS
ScannedFiles File yang mungkin berharga yang ditemukan di dalam sistem
ScreenSize Resolusi layar sistem target
Nama fungsi Deskripsi
ScannedWallets Informasi tentang dompet yang ditemukan dalam sistem
SecurityUtils Daftar dan status semua program antivirus yang terdeteksi
AvailableLanguages Bahasa, didukung oleh versi OS pada PC target
MachineName Nama mesin target
Monitor Tangkapan layar layar pada saat eksekusi
OSVersion Informasi tentang versi sistem operasi
Nord Kredensial untuk NordVPN
Open Kredensial untuk OpenVPN
Processes Daftar proses yang berjalan dalam sistem
SeenBefore Periksa apakah laporan tersebut mengenai korban baru atau korban yang diserang sebelumnya
TimeZone Zona waktu komputer yang diserang
ZipCode Kode Pos Korban
Softwares Daftar program yang diinstal pada PC yang diserang
SystemHardwares Detail tentang konfigurasi PC

Berbagai penelitian menunjukkan bahwa RedLine tidak sepenuhnya konsisten dengan browser yang diserang. Efektivitas terbesarnya diamati pada browser Chrome, Opera, Chromium, dan Chromodo. Di antara aplikasi berbasis mesin selain Chromium ada 360Browser berbasis WebKit dari China. Browser web pada mesin Gecko – Firefox, Waterfox, dan sebagainya – juga rentan, tetapi stealer kadang-kadang mengalami masalah saat mengekstraksi data dari browser-browesr tersebut.

RedLine malware berorientasi pada tinggal lama di dalam sistem. Banyak stealer memiliki fungsi penghapusan diri sendiri setelah tidak ada data yang tersisa untuk dicuri. Sementara itu, stealer ini menawarkan mekanisme gaya spyware: operator dapat memerintahkannya untuk menghancurkan dirinya sendiri, tetapi tidak ada timer di dalamnya.

RedLine Stealer IoC

Indikator Jenis Deskripsi
newlife957[.]duckdns[.]org[:]7225 URL C2 URL
1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348 Hash Hash SHA-256 – penyamaran (tidak terdeteksi)
ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784b Hash Hash SHA-256 dari bagian malware
9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430f Hash Hash SHA-256 dari bagian malware
76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1b Hash Hash SHA-256 dari bagian malware
258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463 Hash Hash SHA-256 dari pengambil info sistem

Varian RedLine yang tersebar luas terdeteksi di alam liar

Distribusi Pencuri Garis Merah

Seperti yang telah saya sebutkan sebelumnya, RedLine Stealer dapat datang sebagai malware tersendiri, maupun dalam satu paket dengan virus lain. Aktivitasnya berkembang pesat selama beberapa waktu terakhir, karena nyaman bagi para penjahat dan dapat dengan mudah dibeli bahkan di web permukaan. Misalnya, pengembangnya memiliki grup di Telegram messenger, di mana malware ini ditawarkan di bawah jenis langganan yang berbeda. Karena pencuri memiliki fungsionalitas yang luar biasa, penawaran ini tidak pernah basi.

Redline bot telegram

RedLine marketing bot in Telegram Messenger

Dalam bentuk mandiri, RedLine Stealer biasanya menyebar melalui email phishing. Sebagai alternatif, itu dapat disamarkan sebagai file instalasi beberapa program populer, seperti Discord, Telegram, Steam, dan aplikasi retak. Dalam satu kasus tertentu, RedLine muncul sebagai ekstensi browser, dan tautan unduhnya disematkan ke dalam deskripsi video YouTube. Namun, pesan email phishing tetap menjadi bentuk distribusi malware yang paling kuat dan populer – dan RedLine Stealer tidak terkecuali.

The example of a typical fraudulent email

Contoh email phishing pada umumnya

Ketika berbicara tentang penyebaran bersamaan dengan malware lainnya, RedLine sering dipasangkan dengan berbagai sampel ransomware. Namun, sebagian besar penyebaran dalam satu paket terjadi setelah RedLine dikombinasikan dengan ransomware Djvu. Sebenarnya, ransomware ini tidak hanya menampilkan pencuri ini tetapi juga 2 malware lainnya – pintu belakang SmokeLoader dan pencuri Vidar. Paket seperti ini bisa membawa setiap potongan data berharga dan membanjiri komputer dengan malware lainnya. Dan jangan lupa tentang ransomware – hal ini sudah cukup merusak berkas-berkas Anda.

Apa itu ransomware Djvu?

STOP/Djvu ransomware adalah contoh yang menonjol dari sebuah grup kejahatan siber yang lama berlangsung, yang teror hampir seluruhnya individu. Mereka dengan cepat memperoleh posisi dominan di pasar ransomware, mencapai lebih dari 75% dari total pengiriman ransomware pada suatu titik waktu. Saat ini, mereka kehilangan momentum yang besar tetapi tetap berbahaya seperti sebelumnya. Malware tambahan yang dibawa ke perangkat pengguna kemungkinan diperlukan untuk mengompensasi berkurangnya jumlah korban baru. Sebelumnya, mereka menggunakan pencuri Azorult tetapi kemudian beralih ke malware yang disebutkan sebelumnya.

Bagaimana cara agar tetap terlindungi?

Mengetahui cara-cara penyebarannya akan memberi Anda petunjuk yang bagus untuk mencegahnya. Metode penanggulangan spam email sudah sangat terkenal dan memiliki berbagai macam pendekatan. Demikian pula halnya dengan penyebaran malware yang menyamar sebagai aplikasi yang sah. Metode yang menampilkan cara-cara yang unik dan sesekali adalah yang paling sulit untuk dihindari, tetapi masih memungkinkan.

Email spam dapat dengan mudah dibedakan dari pesan asli . Hampir setiap pesan mencurigakan mencoba meniru perusahaan asli atau pengirim yang Anda kenal. Namun, mereka tidak dapat meniru alamat pengirim, serta memprediksi jika Anda menunggu surat tersebut. Sebenarnya, mereka dapat mengakui email yang mungkin Anda terima melalui phishing awal, tetapi situasi seperti itu cukup jarang terjadi. Oleh karena itu, melihat sebuah surat asing yang seharusnya tidak Anda terima dengan alamat pengirim yang tidak biasa berarti seseorang mencoba memperdaya Anda. Jika informasinya terlihat meyakinkan bagi Anda, lebih baik periksa hal-hal secara manual.

Email spam example

Contoh umum dari email umpan. File terlampir berisi malware

Installer aplikasi palsu tidak memerlukan perhatian yang terlalu banyak tetapi memerlukan Anda untuk mengikuti aturan. Misalnya, palsu seringkali disebarkan di komunitas online, seperti Discord atau Reddit. Menggunakannya berisiko, terutama jika Anda dapat mendapatkan installer yang sama dari situs resmi secara gratis. Ketika datang ke program retak, ada satu hal yang harus Anda ingat – tidak ada yang gratis di bawah matahari. Bahkan jika retakan itu terlihat sah, dan Anda yakin tentang pengirimnya, lebih baik memeriksa file tersebut dengan perangkat lunak anti-malware. Ada godaan besar untuk memonetisasi retakan aplikasi melalui penambahan malware – para peretas melanggar hukum apa pun. Solusi lain adalah menggunakan salinan asli perangkat lunak – berbayar dan diunduh dari situs web vendor.

Discord virus

Contoh malware yang menyebar melalui Discord

Cara-cara yang rumit hampir tidak mungkin diprediksi dan dideteksi secara proaktif. Namun, file dan ekstensi tidak akan muncul dengan sendirinya secara otomatis. Begitu Anda melihat situasi yang tidak Anda yakini, keputusan terbaik adalah meluncurkan pemindaian penuh dengan solusi keamanan yang kuat. Jika dilengkapi dengan sistem pemindaian modern, dia pasti akan menemukan aktivitas yang tidak biasa yang tidak terlihat oleh mata manusia.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

English German Japanese Spanish Portuguese, Brazil French Turkish Chinese (Traditional) Korean Hindi Italian

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending