RedLine Malware as a Service

Di forum bawah tanah, RedLine Stealer yang ditemukan tahun 2020 dikenal juga sebagai infostealer for hire, namun kini mereka dikenal sebagai Redline malware as a service.

Banyak pelaku kejahatan siber menyadari sejak lama bahwa malware dapat dibuat menjadi bisnis yang berkelanjutan walaupun ilegal.

Maka kemudian muncul Malware-as-a-Service, atau MaaS, penggiat kejahatan maya memutuskan untuk mengalihkan malware mereka menjadi produk yang dapat ditawarkan dengan biaya dan menghasilkan sumber pendapatan tetap.

Malware as a Service

Sekilas data telemetri ESET dengan mudah menunjukkan prevalensi MaaS di antara penjahat dunia maya pada Semester 1 2023, ada tiga keluarga MaaS dalam statistik sepuluh besar infostealer:

1. MSIL/Spy.AgentTesla.

2. Win/Formbook.

3. MSIL/Spy.Redline.

Tiga keluarga bersama-sama membuat lebih dari setengah dari sepuluh deteksi infostealer teratas, dengan jumlah mereka dihitung dalam ratusan ribu.

Secara umum, MaaS adalah solusi malware siap pakai yang dapat disewa oleh penjahat dunia maya. Sebagai imbalan atas pembayaran mereka, klien sering mendapatkan akses tidak hanya ke malware itu sendiri, tetapi juga ke botnet dan pelanggan layanan yang disediakan oleh pengembang MaaS. Pendekatan ini membawa akses malware ke penjahat yang biasanya tidak dapat mengkode solusi canggih sendiri, sehingga berkontribusi pada proliferasi kampanye berbahaya.

RedLine Stealer

Akhir-akhir ini, satu varian MaaS telah meningkat popularitasnya – RedLine Stealer. Setelah ditemukan pada tahun 2020, itu segera menjadi salah satu keluarga infostealer paling umum di telemetri ESET.

MSIL/Spy.RedLine pertama kali masuk dalam daftar sepuluh besar deteksi infostealer pada H2 2022 dan berhasil bertahan di H1 2023 meskipun terjadi penurunan jumlah deteksi total, menempati posisi kesembilan.

Malware ini dapat dibeli di forum bawah tanah atau saluran telegram. Dengan imbalan biaya berlangganan bulanan yang relatif rendah (dilaporkan USD 150 per bulan), itu dapat digunakan untuk mencuri berbagai informasi.

Dari kata sandi, hingga informasi dompet cryptocurrency, hingga data yang disimpan dari Steam dan Discord, operator RedLine bertujuan untuk memenuhi semua kebutuhan jahat pelanggan mereka.

Afiliasi RedLine Stealer

Klien berbayar RedLine, disebut sebagai “afiliasi”, mendapatkan akses ke panel kontrol malware, yang kemudian digunakan untuk mengelola operasi mereka. Panel kontrol ini memiliki antarmuka grafis lengkap, membuat penyebaran malware ke korban menjadi lebih mudah. Agar berfungsi dengan baik, panel berkomunikasi dengan backend spyware, yang dikendalikan oleh operator RedLine yang sebenarnya.

Karena afiliasi mendapatkan solusi siap pakai, mereka dapat dengan mudah mengintegrasikannya ke dalam operasi jahat yang lebih besar. Dengan demikian, malware telah digunakan dalam beberapa kampanye terkenal. Di H1 2023 saja, ia memanfaatkan ledakan AI dengan menyamar sebagai unduhan gratis ChatGPT dan Google Bard. Ini disebarkan melalui iklan jahat di halaman bisnis Facebook yang dibajak.

CronUp menemukan bahwa dalam rangkaian serangan lain yang memanfaatkan iklan, RedLine didistribusikan melalui Google Ads bersama Ursnif, dan kemungkinan Cobalt Strike dan ransomware. Seperti yang diungkapkan oleh Avast, infostealer ini juga digunakan dalam kampanye phishing yang sangat bertarget yang menyalahgunakan Tanda Adobe Acrobat: penerima tertentu dikirimi email dengan lampiran yang menyamar sebagai layanan penandatanganan; namun, lampiran sebenarnya berisi tautan yang akhirnya mengarah ke file ZIP yang berisi RedLine.

Metode Distribusi RedLine

Sebagaimana dirinci oleh Flare Systems dalam presentasi bersama dengan ESET di Botconf 2023, metode distribusi RedLine Stealer bervariasi sebanyak operasinya. Seperti melalui:

• Google Ads dan spearphishing yang telah disebutkan.

• Tautan.

• Iklan.

• Komentar di video YouTube.

• Sampel log pencuri publik.

Malware menyusup ke sistem korban dengan menyamar sebagai, antara lain, pemutakhiran Windows 11, crack untuk gim video atau perangkat lunak lain, klon aplikasi seluler, dan aplikasi populer seperti Visual Studio.

Pada bulan April, peneliti ESET mengungkapkan di Twitter bahwa selama penyelidikan bersama dengan para peneliti di Flare Systems, menemukan beberapa repositori GitHub yang digunakan sebagai penyelesai dead-drop panel kontrol RedLine. Secara total, ESET menemukan empat repositori seperti itu lalu semua dihapus dengan bantuan GitHub:

• github[.]com/lermontovainessa/Hub

• github[.]com/arkadi20233/hub

• github[.]com/ivan123iii78/hub

• github[.]com/MTDSup/updateResolver

Panel Kontrol Hosting

Panel kontrol menggunakan informasi yang disimpan di dead-drop resolver untuk mengakses server backend RedLine. Karena tidak ada saluran mundur, penghapusan repositori merusak otentikasi panel kontrol RedLine yang digunakan pada saat itu. Meskipun tindakan kami tidak memengaruhi backend MaaS, tindakan tersebut tetap berfungsi sebagai gangguan sementara, karena memaksa operator untuk mendistribusikan versi panel yang baru.

Selain repositori GitHub, peneliti ESET juga menemukan sertifikat penandaan kode yang digunakan untuk menandatangani panel kontrol RedLine. Sertifikat diberikan kepada RAIL AND CIVILS LTD dan AMERT, LLC, dan dicabut setelah kami melaporkannya.

Berdasarkan penguraian data telemetri ESET untuk bulan Desember 2022 hingga Maret 2023, peneliti ESET telah menentukan bahwa panel kontrol RedLine dihosting terutama di Rusia, Jerman, dan Belanda. Masing-masing dari tiga negara menjadi host hampir 20% dari jumlah total K&K RedLine. ESET juga menemukan sejumlah besar panel kontrol spyware di alamat IP yang berlokasi di AS dan Finlandia, dengan kedua negara menampung sekitar 10%.

Sementara peneliti ESET berhasil membuat operator RedLine tidak nyaman dengan menghapus repositori dengan penyelesai dead-drop, kami dapat memastikan bahwa kami belum mendengar yang terakhir dari infostealer terkenal ini. Bahkan jika RedLine tiba-tiba menghilang, banyak aktor akan bersemangat untuk menggantikannya.

Pada bulan April 2023, saat menyelidiki malware dengan Flare Systems, peneliti ESET berhasil menghentikan sementara sebagian dari operasi RedLine Stealer.

Sumber berita:

WeLiveSecurity