Hash / InformaçãoValor
SHA2561c56c07df6ccba54d407a496430c23203d50ceb540465b9e1d6749f1908a8454
MD507705ff4b2b0f414ae986ab77ca3ee24
SHA103165370d20797092e58dbf987908c7931beff2e
ImpHasha4b378a292400abd4e511d28d655f978
Arquivo AdiSetup.exe
Tipo de arquivoexe
Tamanho1,153,483 bytes
Primeira detecção2022-10-23

Tehdit Valorlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Capacidades detectadas

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

Tags do MalwareBazaar

exeRedlineRedLineStealer

Nota de análise

Bu ornek RedLine ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RedLine — Perfil do malware

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Tipo de malware
Infostealer
Linguagem de programação
.NET C#
Protocolo C2
HTTPS
Sistemas-alvo
Windows
Também conhecido como (AKA)
RedLine Stealer

Detalhes técnicos

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Atribuição / Ator da ameaça

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (2 indicadores)

IOC — RedLine
# SHA256 1c56c07df6ccba54d407a496430c23203d50ceb540465b9e1d6749f1908a8454 # MD5 07705ff4b2b0f414ae986ab77ca3ee24
TipoValorNota
sha256 1c56c07df6ccba54d407a496430c23203d50ceb540465b9e1d6749f1908a8454
md5 07705ff4b2b0f414ae986ab77ca3ee24

Servidores C2 (8 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
github.com domain — HTTP active —
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive —
193.56.255.42 ip 15000 TCP inactive —
5.188.87.39 ip 30000 TCP inactive —
46.205.202.219 ip 1912 TCP inactive —
217.65.2.14 ip 1912 TCP inactive —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
exeRedlineRedLineStealer