# RedLine Stealer > Tipo: **infostealer MaaS** · S1240 · [MITRE ATT&CK](https://attack.mitre.org/software/S1240) ## Visão Geral [[s1240-redline-stealer|RedLine Stealer]] foi **o infostealer mais prevalente da historia** - segundo a SpyCloud, com mais infeccoes do que qualquer outro malware comparavel até a data de sua derrubada. Descoberto em 2020 pela Proofpoint, operava sob modelo MaaS com assinatura mensal ou licenca vitalicia em foruns clandestinos de lingua russa e canais Telegram. A ESET identificou mais de **1.000 enderecos IP únicos** usados para hospedar paineis de controle RedLine. Em 24 de outubro de 2024, a **Operação Magnus** - conduzida pela Politia Nacional Holandesa, FBI, Eurojust e outros parceiros - derrubou tres servidores nos Paises Baixos, apreendeu dois dominios e levou a custodia de duas pessoas na Belgica. Maxim Rudometov foi indiciado nos EUA como desenvolvedor e administrador do RedLine. A ESET determinou que o RedLine e o META Stealer compartilham o mesmo criador. Versoes crackeadas e forks permanecem em circulacao após a derrubada. **Plataformas:** Windows --- ## Como Funciona O RedLine Stealer opera em quatro fases via paineis de controle distribuidos a afiliados: 1. **Entrega via engenharia social:** Distribuido via software pirata ([[t1204-002-malicious-file|T1204.002]]), phishing com masquerading como downloads do ChatGPT (2023) ou cheats de videogames (2024 H1) ([[t1036-masquerading|T1036]]). O dropper usa certificado de assinatura de código falso ou auto-assinado ([[t1553-002-code-signing|T1553.002]]) e criptografia AES para extrair o payload principal. 2. **Evasão e reconhecimento:** Verifica processos de antivirus ([[t1518-001-security-software-discovery|T1518.001]]), pode desabilitar ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), verifica idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) e localização geografica ([[t1614-system-location-discovery|T1614]]) para filtrar vitimas. Consulta registro ([[t1012-query-registry|T1012]]) e enumera contas locais ([[t1087-001-local-account|T1087.001]]). 3. **Coleta e exfiltração:** Roba credenciais de navegadores (SOAP ou REST API) ([[t1555-003-credentials-from-web-browsers|T1555.003]]), carteiras de criptomoeda, cookies de sessao, dados de Steam, Discord, Telegram e clientes VPN, tira screenshots ([[t1113-screen-capture|T1113]]) e realiza roubo financeiro direto ([[t1657-financial-theft|T1657]]). Os dados sao convertidos para formato XML e exfiltrados via Web Service ([[t1102-web-service|T1102]]). 4. **Distribuição de logs:** Afiliados recebem logs via painel de controle (autenticado com WCF em versoes 2023; REST API em versoes 2024). Os logs sao revendidos no Russian Market, 2easy e outros marketplaces para IABs e grupos de ransomware. --- ## Attack Flow ```mermaid graph TB A["Phishing / Software pirata<br/>ChatGPT falso / game cheats<br/>Arquivo malicioso T1204.002"] --> B["Code signing falso<br/>T1553.002 + Masquerading T1036<br/>AES decrypt payload"] B --> C["Evasão<br/>Disable AV T1562.001<br/>Language check T1614.001"] C --> D["Coleta massiva<br/>Browser passwords + cookies<br/>Crypto wallets + VPN creds"] D --> E["Exfiltração<br/>SOAP/REST API via WCF<br/>Web Service T1102"] E --> F["Painel do afiliado<br/>1000+ IPs de paineis<br/>Logs organizados por pais"] F --> G["Mercado de logs<br/>Russian Market / 2easy<br/>IABs e ransomware"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C install class D collect class E,F exfil class G impact ``` --- ## Timeline ```mermaid timeline title RedLine Stealer - Historico Operacional 2020 : RedLine descoberto pela Proofpoint 2022 : Torna-se o infostealer mais prevalente globalmente Abr 2023 : ESET remove repositorios GitHub usados como C2 2023 : Campanha falso ChatGPT massiva 2024 H1 : Campanha falso game cheats Out 2024 : Operação Magnus - derrubada global Nov 2024 : Indiciamento de Maxim Rudometov nos EUA 2025 : Forks e versoes crackeadas continuam em circulacao ``` --- ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | | Defense Evasion | [[t1036-masquerading\|T1036]] | Masquerading | | Defense Evasion | [[t1553-002-code-signing\|T1553.002]] | Code Signing (certificados auto-assinados) | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Disable or Modify Tools | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Software Packing | | Defense Evasion | [[t1027-013-encryptedencoded-file\|T1027.013]] | Encrypted/Encoded File (AES) | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credentials from Web Browsers | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | System Owner/User Discovery | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Security Software Discovery | | Discovery | [[t1012-query-registry\|T1012]] | Query Registry | | Discovery | [[t1614-system-location-discovery\|T1614]] | System Location Discovery | | Discovery | [[t1614-001-system-language-discovery\|T1614.001]] | System Language Discovery | | Discovery | [[t1087-001-local-account\|T1087.001]] | Local Account Discovery | | Collection | [[t1113-screen-capture\|T1113]] | Screen Capture | | Impact | [[t1657-financial-theft\|T1657]] | Financial Theft | | C2 | [[t1102-web-service\|T1102]] | Web Service (Telegram / SOAP) | --- ## Relevância LATAM O RedLine Stealer tem **presenca massiva no Brasil**, com logs de infeccoes brasileiras frequentemente comercializados no Russian Market e 2easy. A FEBRABAN e o CERT.br monitoram ativamente campanhas de distribuição de stealers com impacto no sistema financeiro nacional. O malware e distribuido principalmente via software pirata - uma prática culturalmente prevalente no Brasil - e via phishing por e-mail e WhatsApp. Dados do Elastic Security Labs (2022-2024) mostram o RedLine como o infostealer mais prevalente no período, com o Brasil entre os principais paises-alvo de logs revendidos. Antes da Operação Magnus, a ESET identificou servidores de backend do RedLine concentrados principalmente na Russia (~33%), com UK, Paises Baixos e Republica Checa representando ~15% cada. O painel do RedLine mostrava busca por logs por pais, tornando o Brasil um item de pesquisa específico para compradores. Bancos digitais (Nubank, Inter, C6), plataformas de e-commerce (Mercado Livre, Magazine Luiza), sistemas corporativos de ERP, VPNs e plataformas de criptomoedas brasileiras sao os alvos primarios de logs brasileiros revendidos. Após a Operação Magnus, o impacto continuou via forks e versoes crackeadas amplamente disponibilizadas em foruns russos. **Setores impactados:** [[financial|financeiro]] · [[technology|tecnologia]] · [[government|governo]] · varejo digital --- ## Detecção - **Browser SQLite Access** - Monitorar acesso ao arquivo `Login Data` do Chrome e `logins.json` do Firefox por processos que nao sejam os proprios navegadores (padrao universal de stealers). - **Telegram C2 Exfiltration** - Detectar upload de dados via API do Telegram a partir de processos nao relacionados ao Telegram Desktop - padrao caracteristico do RedLine e forks. - **AV/EDR Disable Attempts** - Alertar para tentativas de desabilitar Windows Defender, Malwarebytes ou outras soluções EDR via linha de comando. - **Suspicious Process Accessing VPN Credentials** - Monitorar acesso a diretorios de configuração de clientes VPN (ProtonVPN, NordVPN, Mullvad) por processos desconhecidos. ```sigma title: RedLine Stealer C2 via Telegram API status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationHostname|contains: - 'api.telegram.org' Image|not_endswith: - '\Telegram.exe' - '\Telegram Desktop\Telegram.exe' condition: selection falsepositives: - Legitimaté applications using Telegram Bot API level: medium tags: - attack.exfiltration - attack.t1102 - code/distill ``` --- ## Referências - [1](https://www.eset.com/us/about/newsroom/press-releases/days-after-takedown-eset-research-releases-analysis-of-redline-stealer-infostealer-empire-4/) ESET - Análise Pos-Operação Magnus - [2](https://www.welivesecurity.com/en/eset-research/life-crooked-redline-analyzing-infamous-infostealers-backend/) ESET WeLiveSecurity - Life on a Crooked RedLine - [3](https://spycloud.com/blog/legacy-malware-still-packs-a-punch/) SpyCloud - Operation Magnus Impact Analysis - [4](https://www.elastic.co/security-labs/globally-distributed-stealers) Elastic Security Labs - Top Infostealer Families 2022-2024 - [5](https://securityscorecard.com/wp-content/uploads/2024/01/Report-A-Detailed-Analysis-Of-The-Red-Line-Stealer.pdf) SecurityScorecard - Detailed Technical Analysis - [6](https://attack.mitre.org/software/S1240) MITRE ATT&CK - S1240 RedLine Stealer