RedLine Stealer Malware unter der Lupe

logpoint-logo

Alon Schwartz, Security Reseacher bei Logpoint

RedLine Stealer tauchte erstmals im März 2020 auf. Genutzt wurde sie in der Vergangenheit immer wieder von den inzwischen aufgedeckten Mitgliedern der Lapsus$-Gruppe, wird aber auch immer noch in Darknet-Foren für wenige Hundert Euro angeboten. Bei diesem Stealer handelt es sich um ein leistungsfähiges Tool zum Sammeln von Anmeldedaten aus einer Vielzahl von Quellen, darunter Webbrowser, FTP-Clients, E-Mail-Apps, Steam, Instant-Messaging-Clients und VPNs. Darüber hinaus kann die Malware Authentifizierungs-Cookies und Kartennummern sammeln, die in Browsern, Chat-Protokollen, lokalen Dateien und sogar Kryptowährungs-Wallet-Datenbanken gespeichert sind.

Weitere Informationen sammelt sie über das System des Opfers einschließlich der IP-Adresse, Stadt und Land, des aktuellen Benutzernamens, des Betriebssystems, der UAC-Einstellungen, der Administratorrechte, des User-Agents und Details über infizierte PC-Hardware und Grafikkarten. Sogar die jeweils installierte Antiviren-Software wird auf dem System identifiziert. Nach dem Sammeln kann die Malware diese Daten mit verschiedenen Techniken exfiltrieren, indem sie die Schutzmaßnahmen umgeht.

Eine der häufigsten Arten, wie diese Malware verbreitet wird, sind Phishing-E-Mails, in denen Benutzer dazu verleitet werden, auf einen Link zu klicken oder einen Anhang herunterzuladen, der den RedLine Stealer installiert. Außerdem haben Cyberkriminelle die Malware als beliebte Software wie Telegram und Discord sowie als gecrackte Software getarnt. Eine weitere Verbreitungsmethode ist die Umleitung von Benutzern auf kompromittierte Websites durch Malvertising oder mit Tippfehlern versehene Domains. Sobald Benutzer diese Websites besuchen, laden sie versehentlich den RedLine Stealer herunter, anstatt die legitime Software, auf die sie eigentlich zugreifen wollten. Die Angreifer nutzen weiterhin verschiedene Techniken, um RedLine Stealer zu verbreiten, darunter getarnte Windows-Upgrades, Spiele-Addons, Fotobearbeitungssoftware usw. Bei dieser Methode werden Benutzer dazu verleitet, ein scheinbar legitimes Windows-Upgrade herunterzuladen und zu installieren, bei dem es sich jedoch in Wirklichkeit um den RedLine Stealer handelt.

10 Maßnahmen zum Schutz vor Infostealern

  1. Social-Engineering-Taktiken wie Phishing, Smishing, Pretexting und Köder sollen Mitarbeiter dazu verleiten, Malware herunterzuladen und auszuführen, vertrauliche Informationen preiszugeben oder nicht autorisierte Aktionen durchzuführen. Um diese Bedrohungen zu bekämpfen, sollten Unternehmen ihre Mitarbeiter regelmäßig darin schulen, wie sie Social Engineering wie Phishing-E-Mails erkennen und darauf reagieren können.
  2. Richtlinien für sichere Passwörter verlangen von den Benutzern, dass sie lange Passwörter erstellen. Durch die Vorgabe dieser Kennwortanforderungen können Unternehmen das Risiko eines unbefugten Zugriffs oder böswilliger Aktivitäten erheblich verringern. Außerdem muss sichergestellt werden, dass Passwörter nicht für verschiedene Konten wiederverwendet werden.
  3. Das Prinzip des „Least Privileges“ beinhaltet die Beschränkung des Benutzerzugriffs und der Berechtigungen auf das, was für die Erfüllung der Arbeitsaufgaben erforderlich ist. Auf diese Weise können Unternehmen das Risiko eines unbefugten Zugriffs oder böswilliger Aktivitäten erheblich verringern. Die Beschränkung des Benutzerzugriffs kann auch potenzielle Schäden verhindern, die durch kompromittierte Benutzerkonten verursacht werden können.
  4. Selbst wenn ein Passwort kompromittiert wurde, kann eine Multi-Faktor-Authentifizierung (MFA) den unbefugten Zugriff auf Benutzerkonten verhindern. Unternehmen sollten die Implementierung von MFA für alle Benutzerkonten in Betracht ziehen, insbesondere für den Fernzugriff oder Cloud-basierte Dienste. Wenn es nicht möglich ist, MFA für alle Benutzerkonten zu implementieren, sollten extern zugängliche Benutzerkonten Priorität erhalten.
  5. Die regelmäßige Überprüfung privilegierter Konten und ihrer Aktivitäten ist von entscheidender Bedeutung, da diese Konten über erweiterte Zugriffsrechte verfügen, die böswilligen Akteuren unbefugten Zugang zu sensiblen Daten oder kritischen Systemen verschaffen können.
  6. Es empfiehlt sich generell regelmäßige Incident Response-Übungen durchzuführen, um die Reaktion auf einen Sicherheitsvorfall zu üben und zu testen.
  7. Sicherheitslösungen auf Host-Ebene wie Logpoint AgentX können helfen, Malware-Infektionen einschließlich Stealer-Malware, zu erkennen und zu verhindern. Diese Lösungen bieten eine zusätzliche Schutzebene für alle Geräte, indem sie die Prozesse und Dienste, die auf dem Gerät laufen, im Blick behalten und bei verdächtigen oder bösartigen Aktivitäten die Verantwortlichen alarmieren.
  8. Die regelmäßige Aktualisierung der Geräte, Browser und anderer Softwareanwendungen ist und bleibt eine wichtige Sicherheitspraxis. In Fällen, in denen keine Patches zur Verfügung stehen oder es nicht möglich ist, die Schwachstelle zu beheben, sollten die von den Anbietern bereitgestellten Abhilfemaßnahmen angewendet werden.
  9. Die regelmäßige Erstellung von Sicherungskopien und eines Backups der wichtigen Daten ist entscheidend für den Schutz vor Datenverlust und Sicherheitsverletzungen.
  10. Eine ordnungsgemäße Protokollierung, die Sichtbarkeit aller Assets und das Monitoring von IT-Systemen sind wesentliche Bestandteile einer soliden Cybersicherheitsstrategie. Diese Maßnahmen verschaffen einen Überblick über das Netzwerk und helfen, Anomalien zu erkennen, die auf eine Sicherheitsbedrohung hindeuten könnten.

Fazit

Die RedLine-Malware stellt eine hoch entwickelte Bedrohung dar, die in der Lage ist, Unternehmen zu schädigen, indem sie sensible Daten stiehlt und kritische Systeme infiziert. Um diese Art von Bedrohung zu erkennen und darauf zu reagieren, unterstützt eine umfassende Sicherheitslösung, die Incident Response-Aktivitäten mit fertigen Playbooks automatisiert.