Observado por primera vez en 2020 y anunciado en varios foros de ciberdelincuentes como una amenaza de ‘Malware-as-a-Service’ (MaaS), Redline es un ladrón de información que se dirige principalmente a las credenciales de las víctimas de Windows y las billeteras de criptomonedas, así como la información del navegador, las conexiones FTP, lanzadores de chat de juegos e información del sistema operativo, como el hardware del sistema, los nombres de los procesos, la zona horaria, la IP, la información de geolocalización, la versión del sistema operativo y el idioma predeterminado.
Durante el año pasado, Redline se agregó con características adicionales y es capaz de cargar otro software malicioso y ejecutar comandos mientras envía periódicamente actualizaciones a su C2 de nueva información relacionada con el host infectado.
Al carecer de un método de distribución listo para usar, los incidentes de Redline recientemente observados parecen comenzar con la entrega de archivos adjuntos de documentos maliciosos enviados a través de una campaña indiscriminada de correo electrónico no solicitado (malspam), Twitter e Instagram Direct Messaging. Principalmente dirigido a proveedores de servicios o contenido, como artistas y transmisores en 3D, asesores financieros y más, con sede principalmente en América del Norte y Europa.
En cuanto a este momento, Redline se puede comprar a través del canal oficial de telegramas Redline (Figura 1), al ofrecer una suscripción mensual, semanal y de por vida por los precios de 100 $, 150 $ y 800 $ respectivamente, pagados en Bitcoin, Ethereum, XMR, LTC y USDT.
El uso de herramientas de terceros para implementar la amenaza, como cifradores o empaquetadores para frustrar la detección basada en firmas, no es una preocupación para los actores de la amenaza, ya que la suscripción viene con un cifrador gratuito como paquete.
Esas herramientas son elogiadas por el alto nivel de servicio y, según se informa, su panel de administración, al igual que el elemento de malware, es sencillo de usar. En particular, según el análisis de muestras recientes y un registro de cambios publicado en el canal de Telegram del actor de amenazas, la versión más reciente de Redline es la versión 20.2 (Figura 3) e introdujo soporte para opciones adicionales de administración de datos robados, administración de notificaciones, registro y errores. fijo que indica la dedicación y desarrollo continuo del producto.