spot_img
14.7 C
São Paulo
spot_img
HomeTop Global NewsAIOperação Magnus: Combate ao Cibercrime e Roubo de Dados com RedLine e...

Operação Magnus: Combate ao Cibercrime e Roubo de Dados com RedLine e Stealers

identificar-infostealer-redline
Identificação de infostealers: Proteja-se contra o RedLine.
Alegon
By Alegon

O FBI, em colaboração com várias agências internacionais de aplicação da lei, apreendeu os servidores e o código-fonte do RedLine e Meta stealers como parte da Operação Magnus, e as autoridades dos EUA acusaram um dos desenvolvedores do RedLine de vários crimes. Os stealers são responsáveis pelo roubo de milhões de credenciais únicas de vítimas internacionais, disseram as autoridades.

O bureau de inteligência e o Departamento de Justiça dos EUA (DoJ) estão entre várias agências internacionais — incluindo Polícia Nacional Holandesa, Polícia Federal da Bélgica, Escritório do Procurador Federal da Bélgica, Agência Nacional de Crimes do Reino Unido, Polícia Federal Australiana, Polícia Federal Portuguesa e Eurojust — que em 28 de outubro interromperam a operação do grupo cibernético por trás dos stealers, que as autoridades afirmam ser “praticamente o mesmo” malware em um vídeo postado no site da operação.

As investigações sobre o RedLine e o Meta começaram depois que as autoridades descobriram sobre a potencialidade de servidores na Holanda estarem ligados ao malware, de acordo com uma declaração à imprensa da Agência da União Europeia para Cooperação Judiciária Criminal. Os investigadores descobriram que mais de 1.200 servidores em dezenas de países estavam executando os stealers.

As autoridades eventualmente coletaram dados de registro de vítimas roubados de computadores infectados com RedLine e Meta, identificando milhões de nomes de usuários e senhas únicas, além de endereços de e-mail, contas bancárias, endereços de criptomoeda e números de cartões de crédito que foram roubados por vários operadores de malware. Além disso, o DoJ acredita que ainda há mais dados roubados a serem recuperados, afirmou em uma declaração à imprensa sobre a Operação Magnus.

As forças de segurança também apreenderam o código-fonte do RedLine e do Meta, bem como servidores REST-API, painéis, stealers e bots do Telegram que estavam sendo usados para distribuir os stealers para cibercriminosos. Ambos os malwares são tipicamente vendidos através de fóruns de cibercrime e canais do Telegram que oferecem suporte ao cliente e atualizações de software.

Desenvolvedor do RedLine Acusado pelo DoJ

Como parte da operação dos EUA, o DoJ acusou Maxim Rudometov, um dos desenvolvedores e administradores do RedLine, de fraude com dispositivos de acesso, conspiração para cometer intrusão de computador e lavagem de dinheiro. Se condenado, Rudometov enfrenta uma pena máxima de 10 anos de prisão por fraude de dispositivo de acesso, cinco anos de prisão por conspiração para cometer intrusão de computador e 20 anos de prisão por lavagem de dinheiro.

O DoJ também tornou pública uma ordem de busca emitida no Distrito Ocidental do Texas que autorizou as forças de segurança a apreender dois domínios usados pelo RedLine e Meta para comando e controle (C2). A polícia holandesa também derrubou três servidores associados aos stealers na Holanda, e mais duas pessoas associadas à atividade criminosa foram detidas na Bélgica.

O Assistente do Procurador dos EUA G. Karthik Srinivasan está processando o caso nos EUA, enquanto a investigação no Texas está sendo conduzida pela Força-Tarefa Cibernética do FBI de Austin, que inclui o Serviço de Investigação Criminal da Marinha, a Investigação Criminal do IRS, o Serviço de Investigação Criminal de Defesa e a Divisão de Investigação Criminal do Exército, entre outras agências.

Distribuição Ampla de Stealers

O RedLine Stealer é uma plataforma de malware-as-a-service (MaaS) vendida via Telegram e fóruns de hackers online que visa navegadores para coletar vários dados salvos pelo usuário, incluindo credenciais e detalhes do cartão de pagamento. Ele também pode realizar um inventário do sistema para avaliar a superfície de ataque para novos ataques. 

Nesse sentido, o RedLine também pode realizar outras funções maliciosas, como fazer upload e download de arquivos e executar comandos. O Meta, por sua vez, é basicamente um clone do RedLine que desempenha funções similares e também opera através de um modelo MaaS.

Devido à sua ampla disponibilidade, ambos os stealers foram utilizados por agentes de ameaça com vários níveis de sofisticação. Agentes avançados distribuíram os stealers como um vetor inicial para realizar outras atividades nefastas, como entregar ransomware, enquanto agentes menos sofisticados usaram um ou outro dos stealers para entrar no jogo do cibercrime para roubar credenciais. Essas credenciais são frequentemente vendidas a outros cibercriminosos na Dark Web para continuar o ciclo do cibercrime.

Uma maneira popular que os cibercriminosos têm usado para distribuir os stealers é escondê-los atrás de anúncios no Facebook, incluindo aqueles promovendo chatbots de IA como ChatGPT e Google Bard. Outros vetores de ataque usaram phishing para embutir os stealers em arquivos ou links maliciosos anexados a e-mails.

As autoridades internacionais planejam continuar suas investigações sobre os criminosos que usam dados roubados pelos infostealers. Para pessoas preocupadas que podem ter sido criminalizadas pelo RedLine e/ou Meta, a ESET está oferecendo uma ferramenta online que permite que as pessoas verifiquem se seus dados foram roubados e quais passos devem tomar caso tenham sido.

Quais são as etapas para identificar um infostealer como o RedLine em um sistema?

Para identificar um infostealer como o RedLine em um sistema, são necessárias várias etapas detalhadas e sistemáticas. Neste artigo, abordaremos as etapas essenciais para detectar e mitigar a ação deste tipo de malware.

Identificação de Vetores de Ataque

  • Os infostealers como o RedLine são frequentemente distribuídos através de ataques de engenharia social, incluindo phishing, anúncios maliciosos, e arquivos ou links maliciosos anexados a e-mails.

Detecção de Arquivos Maliciosos

  • O malware pode ser disfarçado como arquivos legítimos, como executáveis (.exe) ou arquivos de instalação de software. Por exemplo, o RedLine Stealer pode ser distribuído dentro de um arquivo chamado “StartGame.exe” ou disfarçado como um arquivo de instalação de software legítimo.

Análise de Comportamento

  • Após a execução, o malware pode não mostrar nenhuma ação visível, mas executar ações maliciosas em segundo plano. É importante monitorar processos suspeitos, como o “AppLaunch.exe” que pode ser usado pelo RedLine para realizar comunicações com o servidor de comando e controle (C2).

Comunicação com Servidor C2

  • O RedLine Stealer se conecta a um servidor C2 para download e upload de arquivos, bem como para executar comandos remotos. Ele usa protocolos como o .NET Message Framing Protocol (NET.TCP) para comunicação bidirecional.

Coleta de Informações

  • O malware coleta uma variedade de informações, incluindo credenciais de navegadores, dados de criptomoedas, informações de hardware e software, endereços IP, endereços MAC, e mais. Ele também pode realizar um inventário do sistema para avaliar a superfície de ataque.

Análise de Registros e Metadados

  • A análise de metadados e registros do sistema pode revelar indicadores de comprometimento, como alterações nos registros do sistema, presença de arquivos maliciosos, e comunicações suspeitas com servidores C2. O RedLine Stealer, por exemplo, armazena informações de configuração em variáveis base64 codificadas que precisam ser decodificadas para revelar o IP do C2 e o Botnet ID.

Monitoramento de Tráfego de Rede

  • O monitoramento do tráfego de rede pode ajudar a identificar comunicações suspeitas com servidores C2. O RedLine Stealer usa o protocolo NET.TCP para se comunicar com o servidor C2, o que pode ser detectado por ferramentas de monitoramento de rede.

Uso de Ferramentas de Segurança

  • Ferramentas de segurança avançadas, como soluções de inteligência de ameaças e ferramentas de análise de malware, podem ajudar a detectar e mitigar o RedLine Stealer. Por exemplo, a Ocelot Threat Intelligence usa análise de metadados e monitoramento de fontes para identificar e prevenir ataques.

Treinamento e Conscientização

  • A conscientização e o treinamento dos usuários são cruciais para prevenir infecções. Ensinar os usuários a detectar e relatar ataques de phishing, armazenar senhas de forma segura e implementar autenticação multifator (MFA) pode reduzir significativamente o risco de infecção.

Conclusão

Por meio dessas etapas, é possível identificar e mitigar a presença de infostealers como o RedLine em um sistema. A implementação de práticas rigorosas de segurança e a educação contínua dos usuários são fundamentais para proteger dados sensíveis e garantir a segurança cibernética.

Fontes:

Fonte

#RedLine, #stealers, #malware, #cibercrime, #investigação, #dados, #segurança, #cryptoalch

Previous article
Cibersegurança: A Importância do CISO na Gestão de Risco e Liderança
Next article
O Poder da IA no Recrutamento: Assistente de Contratação do LinkedIn

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us