mercoledì 29 giugno 2022

RedLine stealer: il malware "rubapassword" ha fatto incetta di dati personali degli italiani

RedLine Stealer circola in Italia da due anni: specializzato in furto dati, ha fatto dell'Italia il suo campo di battaglia preferito. E i dati di migliaia di italiani sono pubblicati nel dark web.

RedLine stealer: biografia in breve

Continuando la nostra rassegna sui malware più diffusi in Italia, oggi è la volta di RedLine Stealer, anche perchè abbiamo ricevuto una segnalazione che ci ha fatto pervenire svariati file CSV pieni zeppi di sessioni di accesso e registrazione a siti web come quello dell'Agenzia delle Entrate, del Mise, le prenotazioni per la Carta di Identità Elettronica, di alcuni Comuni italiani e così via.

Andando con ordine, iniziamo con le presentazioni. RedLine Stealer è un malware finalizzato al furto dati personali, finanziari e delle macchine che infetta. In diffusione da Febbraio 2020 è responsabile di ingenti perdite finanziarie e di informazioni a discapito di aziende e molteplici enti pubblici. 

Il primo post pubblicato da RedLine sui forum di hacking.


Ha capacità di furto dati anche dai browser, dai sistemi di messaggistica instantanea e dai software di sharing. In dettaglio RedLine Stealer mira alle credenziali di accesso ai servizi privati e aziendali, alle informazioni sulle carte di credito, ai cookie di sessione attivi e ai dati relativi ai wallet di criptovalute.
In ultimo, RedLine spesso funge da precursore per successivi attacchi ransomware sulle reti colpite. 

RedLine è solito rivendere nel dark web tutti i dati che ruba. E' organizzato secondo il modello MaaS - Malware as a Service, nel quale una rete di affiliati affitta il malware (al costo di circa 200 dollari), lo distribuisce e divide con i profitti coi gestori del servizio.

I sample di dati italiani rubati nel mese di Giugno

Per rendere concrete le parole, ecco un esempio dei dati che abbiamo ricevuto e raccolti da RedLine infostealer. Questi screen provengono da file contenenti i dati di sessione e registrazione di utenti italiani ad una lunga serie di servizi, sopratutto pubblici e governativi.

I dati, tutti risalenti al mese di Giugno 2022, sono nel dark web. Provengono dal sito della difesa, dell'Enel, Infocert, Citta Metropolitana di Roma, Agenzia delle Entrate, Anpal, comune di Catania, Agenda Cie e Ministero dell'Interno, PagoPa ecc...





RedLine Stealer: info tecniche

RedLiner è ghiotto di credenziali salvate sui browser: la funzione di auto login presente in praticamente tutti i browser è la sua fortuna. Lo scorso anno gli analisti di AhnLab hanno pubblicato un interessante report nel quale hanno illustrato come gli attaccanti siano riusciti ad irrompere in una rete aziendale dopo aver rubato, con RedLine, le credenziali VPN di un impiegato remoto.

In dettaglio il malware mira al file "Login Data" che si tova in tutti i browser basati su Chromium: tutti i dati rubati sono quindi salvati un database SQLite, dove sono salvati username e password

Fonte: AhnLab

I dati sui browser basati su Chromium solitamente sono salvati in forma criptata, non sono in chiaro per capirsi, ma possono essere decrittati purchè sia lo stesso utente a farlo. RedLine è in grado di decriptare questi dati perchè si esegue come l'utente infetto.

Non solo: i browser basati su Chromium sono soliti aggiungere una entry anche nel caso in cui l'utente rifiuti di salvare le credenziali per un determinato sito web o servizio. In questo caso, indica quel particolare sito web come "blacklisted". Anche questa è una informazione utile per RedLine, non a caso il malware la colleziona: non consente di raccogliere le credenziali, ma indica che l'utente ha un account su quel sito web. Diventa una informazione utile per lanciare ulteriori attacchi di ingegneria sociale o phishing con i quali ingannare l'utente e indurlo comunque a rivelare le credenziali.

Redline stealer: come si diffonde?

RedLine viene diffuso con le classiche campagne di malspam, compromettendo email aziendali, falsi upgrade e annunci (indicizzati) contenenti allegati o link dannosi. I formati vettore più utilizzati sono i formatri archivi, i file della suite Office e file seguibili. Più raramente utiulizza i file PDF o javascript.

Per fare un esempio concreto, nel 2021 il CERT ha pubblicato un alert relativo ad una pagina fake che simulava il sito originale del popolare password manager "Last Pass".

Questa la pagina fake

Fonte: https://cert-agid.gov.it


Il click sul bottone Download rimandava ad un file chiamato LastPass.iso. Questo file ISO ha un solo scopo: scaricare da una posizione differente dalla propria un file chiamato "traff.exe". Il primo file si trovava su un dominio austriaco, il secondo file su un dominio olandese.

Traff.exe non è l'eseguibile definitivo: l'infezione prevede un terzo stadio, nel quale poi viene scaricato e installato il malware vero e proprio.

Come faccio a sapere se il mio account è stato violato da RedLine?

Il servizio Have I Been Pwned contiene un database aggiornatissimo relativo a tutti i data breach i cui "proventi", ovvero i dati rubati, finiscono in vendita nel dark web. I suoi gestori dallo scorso anno aggiungono al database dei breach anche i dati raccolti con RedLine.

Se il tuo account è stato violato con RedLine, molto probabilmente questo servizio saprà confermatelo. 

 

Segue la lista dettagliata delle informazioni rubate da RedLine, come fornita dal CERT:

Informazioni generiche:

  • ZipCode
  • Monitor
  • ScreenSize
  • IPv4
  • TimeZone
  • City
  • Country
  • Language
  • OSVersion
  • MachineName
  • Hardware
  • ReleaseID

Scansioni sul sistema alla ricerca di:

  • SecurityUtils
  • AvailableLanguages
  • Softwares
  • Processes
  • SystemHardwares
  • Browsers
  • FtpConnections
  • GameLauncherFiles
  • ScannedWallets
  • MessageClientFiles

Riguardo ai Browser colleziona nello specifico:

  • BrowserName
  • BrowserProfile
  • Logins
  • Autofills
  • Cookies

Verifica se sono presenti i seguenti software:

  • ScanFTP
  • ScanWallets
  • ScanScreen
  • ScanTelegram
  • ScanVPN
  • ScanSteam
  • ScanDiscord
  • ScanFilesPaths
  • ScanChromeBrowsersPaths
  • ScanGeckoBrowsersPaths

Ricerca configurazioni per le seguenti VPN:

  • NordVPN
  • OpenVPN
  • ProtonVPN

Nessun commento:

Posta un commento