Table of Contents
A Polícia Nacional Holandesa, juntamente com parceiros internacionais, anunciou a interrupção da infraestrutura que alimentava dois ladrões de informações rastreados como RedLine e MetaStealer.
A desarticulação, que ocorreu em 28 de outubro de 2024, é o resultado de uma força-tarefa internacional de aplicação da lei, codinome Operação Magnus, a qual envolveu autoridades dos EUA, Reino Unido, Bélgica, Portugal e Austrália.
A Eurojust, em um comunicado publicado hoje, informou que a operação resultou no fechamento de três servidores na Holanda e na apreensão de dois domínios. Ao todo, estima-se que mais de 1.200 servidores em dezenas de países tenham sido usados para executar o malware.
Como parte dos esforços, um administrador foi acusado pelas autoridades dos EUA e duas pessoas foram presas pela polícia belga, conforme afirmou a Politie disse, acrescentando que uma delas já foi liberada, enquanto a outra continua sob custódia.
O Departamento de Justiça dos EUA (DoJ) acusou Maxim Rudometov, um dos desenvolvedores e administradores do RedLine Stealer, de fraude com dispositivos de acesso, conspiração para cometer invasão de computador e lavagem de dinheiro. Se condenado, ele enfrenta uma pena máxima de 35 anos de prisão.
“Rudometov acessava e gerenciava regularmente a infraestrutura do RedLine Infostealer, estava associado a várias contas de criptomoeda usadas para receber e lavar pagamentos e estava na posse do malware RedLine”, afirmou o DoJ disse.
A investigação sobre a infraestrutura técnica dos ladrões de informações começou há um ano, com base em uma dica da empresa de cibersegurança ESET de que os servidores estavam localizados na Holanda.
Dentre os dados apreendidos estavam nomes de usuário, senhas, endereços IP, carimbos de data/hora, datas de registro e o código-fonte de ambos os malwares ladrões. Simultaneamente, várias contas do Telegram associadas ao malware ladrão foram tiradas do ar. Investigações adicionais sobre seus clientes estão em andamento.
“Os ladrões de informações RedLine e MetaStealer eram oferecidos a clientes por meio desses grupos”, disseram as autoridades holandesas. “Até recentemente, o Telegram era um serviço onde os criminosos se sentiam intocáveis e anônimos. Esta ação mostrou que isso não é mais o caso.”
Vale ressaltar que o alvo do MetaStealer como parte da Operação Magnus é diferente do malware MetaStealer que é conhecido por atacar dispositivos macOS.
Ladrões de informações como RedLine e MetaStealer são engrenagens cruciais na roda do cibercrime, permitindo que atores de ameaças sifonem credenciais e outras informações sensíveis que podem ser vendidas a outros atores de ameaça para ataques subsequentes, como ransomware.
Ladrões são geralmente distribuídos sob um modelo de malware como serviço (MaaS), significando que os desenvolvedores principais alugam o acesso às ferramentas para outros cibercriminosos, seja por meio de uma assinatura ou por uma licença vitalícia.
Quais os principais métodos de funcionamento do RedLine e MetaStealer?
Os principais métodos de funcionamento do RedLine Stealer e do MetaStealer são altamente sofisticados e têm se tornado cada vez mais relevantes no contexto do cibercrime moderno. Neste artigo, vamos examinar em detalhes como esses malwares operam, focando em suas técnicas de distribuição, coleta de dados e comunicação com servidores de controle.
RedLine Stealer
- Distribuição: O RedLine Stealer é distribuído principalmente através de emails maliciosos, muitas vezes utilizando templates relacionados à pandemia de COVID-19. Além disso, ele é frequentemente encontrado em jogos e aplicativos crackeados, enganando os usuários a instalá-lo sem o seu conhecimento.
- Coleta de Dados: Este infostealer coleta uma ampla gama de informações, incluindo credenciais salvas nos navegadores, dados de autocompletar, informações de cartões de crédito, histórico do navegador e dados de criptomoedas. Também extrai detalhes sobre o dispositivo infectado, como IP, localização geográfica, configuração de hardware e informações sobre software de segurança instalado.
- Métodos de Coleta: O RedLine utiliza várias técnicas para coletar dados:
- Emprego do Browser Exploitation Framework (BeEF) para controlar navegadores e aplicativos.
- Utilização de form grabbers para interceptar e copiar dados de formulários.
- Keylogging para registrar as teclas pressionadas pelo usuário.
- Comunicação com o Servidor de Controle (C2): O malware se comunica com um servidor C2 usando uma API SOAP, recebendo comandos para executar tarefas extras, como baixar e executar arquivos, abrir URLs específicas e exfiltrar dados.
- Modelo de Malware-as-a-Service (MaaS): O RedLine Stealer é comercializado em fóruns underground, permitindo que cibercriminosos o utilizem por meio de assinaturas ou licenças vitalícias.
MetaStealer
Embora o funcionamento específico do MetaStealer não seja amplamente divulgado, algumas informações gerais são conhecidas:
- Distribuição: O MetaStealer também é oferecido sob um modelo MaaS e está disponível em fóruns underground.
- Coleta de Dados: Assim como o RedLine, o MetaStealer é projetado para coletar credenciais de navegadores e dados de criptomoedas, sendo promovido como uma versão melhorada do RedLine Stealer.
- Métodos de Coleta: Apesar de menos informações disponíveis, é provável que o MetaStealer adote métodos semelhantes aos do RedLine, como form grabbers, keylogging e exploração de navegadores.
- Comunicação com o Servidor de Controle (C2): O MetaStealer, assim como o RedLine, provavelmente utiliza canais de comunicação com servidores C2 para receber comandos e exfiltrar dados.
Conclusão
Os infostealers como RedLine e MetaStealer representam uma ameaça crescente no mundo do cibercrime, especialmente devido às suas técnicas avançadas de coleta e distribuição. Conhecer seus métodos de operação pode ajudar usuários e empresas a se protegerem melhor contra essas ameaças. Manter práticas de segurança robustas e usar soluções de segurança, como a ESET, podem ser passos cruciais na prevenção contra esses malwares.
Fontes
- RedLine Stealer Malware: The Complete Guide – Flare.io
- Unmasking Redline: The Rising Malware Threat from Russia | Infosec
- A Detailed Analysis of the RedLine Stealer – SecurityScorecard
- RedLine Stealer (Malware Family) – Malpedia
#cibercrime, #malware, #RedLine, #MetaStealer, #infostealer, #OperaçãoMagnus, #ESET, #cryptoalch