Хеш / ИнформацияЗначение
SHA256b7729ad0144a85f8b5d4e3a057e3404cdc3204da2010c87798f32b146a21dbae
MD566490d4520c2680555bbda14d832aa36
SHA104fab8643288b4cac335f79587a929a4d9336860
ImpHashe34255f24c16c6689f04ecd0d604895e
Файл Adiupdater_2357.exe
Тип файлаexe
Размер1,978,476 bytes
Первое обнаружение2022-12-26

Tehdit Значениеlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Обнаруженные возможности

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

Метки MalwareBazaar

exeRedlineRedLineStealer

Примечание к анализу

Bu ornek RedLine ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RedLine — Профиль вредоносного ПО

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Тип вредоносного ПО
Infostealer
Язык программирования
.NET C#
C2 Протокол
HTTPS
Целевые системы
Windows
Другие названия (AKA)
RedLine Stealer

Технические детали

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Атрибуция / Актор угрозы

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (2 индикаторов)

IOC — RedLine
# SHA256 b7729ad0144a85f8b5d4e3a057e3404cdc3204da2010c87798f32b146a21dbae # MD5 66490d4520c2680555bbda14d832aa36
ТипЗначениеПримечание
sha256 b7729ad0144a85f8b5d4e3a057e3404cdc3204da2010c87798f32b146a21dbae
md5 66490d4520c2680555bbda14d832aa36

C2 Серверы (8 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
github.com domain — HTTP active —
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive —
193.56.255.42 ip 15000 TCP inactive —
5.188.87.39 ip 30000 TCP inactive —
46.205.202.219 ip 1912 TCP inactive —
217.65.2.14 ip 1912 TCP inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
exeRedlineRedLineStealer