Se connecter
Inscription
Mot de passe perdu
Publié le 11/11/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Faisant suite au démantèlement de RedLine Stealer par les autorités internationales, ESET Research publie ses recherches sur les modules backend non documentés qui ont aidé les forces de l’ordre dans leur opération de démantèlement. Une analyse technique approfondie permet de mieux comprendre le fonctionnement de cet empire de malwares en tant que service (MaaS). Les chercheurs d’ESET, en collaboration avec les forces de l’ordre, ont réuni plusieurs modules utilisés pour faire fonctionner en 2023 l’infrastructure derrière RedLine Stealer. Le 24 octobre 2024, la police néerlandaise, avec le FBI, Eurojust et plusieurs autres organismes chargés d’appliquer la loi, a procédé au démantèlement de RedLine Stealer et de son clone appelé META Stealer. Cet effort global, appelé Operation Magnus, a abouti au démantèlement de trois serveurs aux Pays-Bas, à la saisie de deux domaines, à la détention de deux personnes en Belgique et à la levée des charges contre l’un des auteurs présumés aux US.
En avril 2023, ESET a participé à une opération de perturbation partielle de RedLine, qui consistait à supprimer plusieurs référentiels GitHub résolveurs de fichiers morts pour le panneau de configuration du maliciel. À cette époque, ESET Research enquêtait sur des modules backend, encore non documentés, de cette famille de maliciels en collaboration avec des chercheurs de Flare. Ces modules n'interagissaient pas directement avec le maliciel, mais géraient l'authentification et fournissaient des fonctionnalités pour le panneau de configuration.
«Nous avons identifé plus de 1000 adresses IP uniques, utilisées pour héberger les panneaux de contrôle RedLine. Bien qu'il puisse y avoir un double emploi, il pouvait y avoir près de 1 000 abonnés au MaaS RedLine. Les versions 2023 de RedLine Stealer analysées en détail utilisaient Windows Communication Framework pour communiquer entre les composants alors que la dernière version de 2024 utilisait une API REST. Sur base de notre analyse du code source et des échantillons de backend, nous avons trouvé que RedLine Stealer et META Stealer partageaient le même développeur», d’après Alexandre Côté Cyr, le chercheur d'ESET, qui a enquêté sur RedLine et META.
Ces adresses IP uniques étaient utilisées pour héberger les panneaux RedLine. Parmi ces panneaux hébergés, la Russie, l'Allemagne et les Pays-Bas représentent chacun environ 20 % du total, tandis que la Finlande et les États-Unis représentent chacun environ 10 %. ESET a aussi identifié plusieurs serveurs back-end distincts. Selon leur répartition géographique, ils étaient principalement situés en Russie (environ un tiers), tandis que le Royaume-Uni, les Pays-Bas et la République Tchèque avaient chacun environ 15 % des serveurs que nous avons identifiés.
RedLine Stealer est un maliciel voleur d'informations, découvert en 2020. Plutôt qu’être exploité de manière centralisée, il utilise un modèle MaaS où n'importe qui peut acheter une solution de vol d'informations, clé en main, sur divers forums en ligne et canaux Telegram. Les clients, qu’ESET nomme affiliés, choissent un abonnement mensuel ou une licence à vie. Après payement, ils obtiennent un panneau de contrôle génèrant des échantillons de maliciel et agissant comme un serveur C&C. Les échantillons générés peuvent collecter diverses informations, dont des portefeuilles de crypto-monnaie locaux; des cookies, des informations d'identification et des informations de carte de crédit enregistrées à partir de navigateurs; des données enregistrées à partir de Steam, Discord, Telegram et de diverses applications VPN de bureau.
« L’utilisation d’une solution clé en main permet aux affiliés d’intégrer plus facilement RedLine Stealer dans des campagnes plus vastes. Parmi les exemples, citons les téléchargements gratuits de ChatGPT en 2023 et les tricheries aux jeux vidéo au premier semestre de 2024 », explique Côté Cyr.
Avant l'opération Magnus, RedLine était un des maliciels voleur d'informations les plus répandus, avec un grand nombre d'affiliés utilisant son panneau de contrôle. L'entreprise de maliciels en tant que service semble avoir été orchestrée par un petit nombre de personnes, dont certaines ont donc été identifiées par les forces de l'ordre.
Vous pouvez lire une analyse technique détaillée dans le blog de recherche Life on a crooked RedLine: Analyzing the infamous infostealer’s backend” sur www.welivesecurity.com. Suivez aussi
ESET Research on Twitter (today known as X) pour les dernières info d’ESET Research.
En avril 2023, ESET a participé à une opération de perturbation partielle de RedLine, qui consistait à supprimer plusieurs référentiels GitHub résolveurs de fichiers morts pour le panneau de configuration du maliciel. À cette époque, ESET Research enquêtait sur des modules backend, encore non documentés, de cette famille de maliciels en collaboration avec des chercheurs de Flare. Ces modules n'interagissaient pas directement avec le maliciel, mais géraient l'authentification et fournissaient des fonctionnalités pour le panneau de configuration.
«Nous avons identifé plus de 1000 adresses IP uniques, utilisées pour héberger les panneaux de contrôle RedLine. Bien qu'il puisse y avoir un double emploi, il pouvait y avoir près de 1 000 abonnés au MaaS RedLine. Les versions 2023 de RedLine Stealer analysées en détail utilisaient Windows Communication Framework pour communiquer entre les composants alors que la dernière version de 2024 utilisait une API REST. Sur base de notre analyse du code source et des échantillons de backend, nous avons trouvé que RedLine Stealer et META Stealer partageaient le même développeur», d’après Alexandre Côté Cyr, le chercheur d'ESET, qui a enquêté sur RedLine et META.
Ces adresses IP uniques étaient utilisées pour héberger les panneaux RedLine. Parmi ces panneaux hébergés, la Russie, l'Allemagne et les Pays-Bas représentent chacun environ 20 % du total, tandis que la Finlande et les États-Unis représentent chacun environ 10 %. ESET a aussi identifié plusieurs serveurs back-end distincts. Selon leur répartition géographique, ils étaient principalement situés en Russie (environ un tiers), tandis que le Royaume-Uni, les Pays-Bas et la République Tchèque avaient chacun environ 15 % des serveurs que nous avons identifiés.
RedLine Stealer est un maliciel voleur d'informations, découvert en 2020. Plutôt qu’être exploité de manière centralisée, il utilise un modèle MaaS où n'importe qui peut acheter une solution de vol d'informations, clé en main, sur divers forums en ligne et canaux Telegram. Les clients, qu’ESET nomme affiliés, choissent un abonnement mensuel ou une licence à vie. Après payement, ils obtiennent un panneau de contrôle génèrant des échantillons de maliciel et agissant comme un serveur C&C. Les échantillons générés peuvent collecter diverses informations, dont des portefeuilles de crypto-monnaie locaux; des cookies, des informations d'identification et des informations de carte de crédit enregistrées à partir de navigateurs; des données enregistrées à partir de Steam, Discord, Telegram et de diverses applications VPN de bureau.
« L’utilisation d’une solution clé en main permet aux affiliés d’intégrer plus facilement RedLine Stealer dans des campagnes plus vastes. Parmi les exemples, citons les téléchargements gratuits de ChatGPT en 2023 et les tricheries aux jeux vidéo au premier semestre de 2024 », explique Côté Cyr.
Avant l'opération Magnus, RedLine était un des maliciels voleur d'informations les plus répandus, avec un grand nombre d'affiliés utilisant son panneau de contrôle. L'entreprise de maliciels en tant que service semble avoir été orchestrée par un petit nombre de personnes, dont certaines ont donc été identifiées par les forces de l'ordre.
Vous pouvez lire une analyse technique détaillée dans le blog de recherche Life on a crooked RedLine: Analyzing the infamous infostealer’s backend” sur www.welivesecurity.com. Suivez aussi
ESET Research on Twitter (today known as X) pour les dernières info d’ESET Research.
Liens associés
07/11/2024 @ 10:49:19
Poster un commentaire
Jeux Vidéos
Vidéo
Google
Apple
