redline-stealer - RunkIntel

# RedLine Stealer > [!high] Infostealer MaaS - Roubo de Credenciais em Escala Industrial > O RedLine Stealer é um infostealer Windows operado como Malware-as-a-Service (MaaS), vendido em fóruns underground e Telegram por US$100-150, que rouba credenciais de navegadores, carteiras de criptomoedas, tokens de sessão e dados de sistema, sendo um dos infostealers mais prevalentes globalmente desde 2020. ## Descrição O [[redline-stealer|RedLine Stealer]] é um malware do tipo **infostealer** para Windows, identificado pela primeira vez em março de 2020, que opera no modelo **Malware-as-a-Service (MaaS)**. O malware é vendido em fóruns underground e canais do Telegram por US$100-150 para versão standalone ou US$100/mês por assinatura, tornando-o acessível mesmo para atores com baixa capacidade técnica. Essa democratização do acesso resultou em uma proliferação massiva de campanhas, tornando o RedLine um dos infostealers mais amplamente utilizados e detectados globalmente. O RedLine implementa um **file-grabber configurável** que visa específicamente os bancos de dados SQLite dos principais navegadores baseados em Chromium (Chrome, Edge, Brave) e Gecko (Firefox) para extrair: credenciais de login salvas, cookies de sessão, dados de autopreenchimento, informações de cartão de crédito e histórico de navegação. Além dos navegadores, o malware rouba credenciais de clientes FTP (FileZilla), VPNs, plataformas de mensagens (Discord, Telegram, Steam tokens) e e-mail. Para usuários de criptomoedas, o RedLine busca arquivos de carteira (padrão `*.wallet`), realiza **hijacking de clipboard** para substituir endereços de carteira copiados e exfiltra dados de extensões de carteira em navegadores. A coleta de **reconhecimento do sistema** é abrangente: endereço IP, geolocalização, versão do sistema operacional, hardware (CPU, GPU, RAM), software instalado, soluções antivírus em execução, nome de usuário e privilégios administrativos. Todos os dados coletados são comprimidos em **"stealer logs"** e exfiltrados via HTTP/HTTPS para painéis de ataque controlados pelos compradores. Esses logs são então vendidos em mercados da dark web (como o Russian Market) ou em canais do Telegram, onde podem ser consultados por categoria (banco, VPN, etc.) para uso em roubo de identidade, tomada de contas ou staging de ataques de ransomware. Em outubro de 2024, a **Operação Magnus** - ação coordenada da Europol com autoridades dos EUA e Países Baixos - resultou na takedown da infraestrutura do RedLine Stealer e do stealer concorrente Meta Stealer, desarticulando temporariamente as operações. No entanto, variantes com capacidades aprimoradas (incluindo versão com bytecode Lua para evasão) continuaram sendo detectadas em 2025. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Phishing e malspam com anexos maliciosos | | Initial Access | [[t1189-drive-by-compromise\|T1189]] | Malvertising e download de software crackeado | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Execução de instaladores falsos e cracks | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de navegadores via SQLite | | Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento completo do sistema e hardware | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos locais, carteiras crypto, sessões | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de logs comprimidos via HTTP/HTTPS | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Payloads empacotados e ofuscados (incluindo Lua bytecode) | ## Grupos que Usam O RedLine Stealer é utilizado por um vasto ecossistema de **initial access brokers** e grupos criminosos de baixa e média sofisticação que utilizam o modelo MaaS. Não há atribuição a grupos APT específicos, mas o malware é frequentemente usado em conjunto com [[privateloader|PrivateLoader]] como serviço de distribuição de payloads. Os logs gerados são amplamente comercializados em mercados como o Russian Market, alimentando campanhas de outros grupos. **Relacionamentos:** distribdo via [[privateloader|PrivateLoader]] - logs vendidos em Russian Market e Telegram ## Detecção - Monitorar acesso anômalo a arquivos de banco de dados SQLite de navegadores (`Login Data`, `Cookies`, `Web Data`) por processos que não sejam o próprio navegador, indicativo de coleta de credenciais - Detectar processos que acessam diretórios de perfil de múltiplos navegadores simultaneamente em curto período - comportamento característico de file-grabbers de infostealer - Implementar alertas para mudanças de clipboard que substituem endereços de criptomoedas (padrão hexadecimal longo) - indicativo de clipboard hijacking - Monitorar comúnicações HTTP/HTTPS a destinos desconhecidos com payloads de tamanho anômalo após execução de arquivos suspeitos em pastas de download ```sigma title: RedLine Stealer - Browser Database Access by Non-Browser Process status: stable logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - '\Login Data' - '\Cookies' - '\Web Data' - '\Local State' TargetFilename|contains: - '\Chrome\' - '\Firefox\' - '\Edge\' filter_legitimate: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' condition: selection and not filter_legitimate level: high tags: - attack.credential_access - attack.t1555.003 ``` ## Relevância LATAM/Brasil O RedLine Stealer tem **presença significativa no Brasil e América Latina**, alimentada por fatores estruturais do mercado: alta utilização de software crackeado (principal vetor de distribuição), grande base de usuários de criptomoedas (onde o hijacking de clipboard é diretamente lucrativo) e mercado de cartões de crédito digitais em expansão. O Brasil é um dos países com maior número de usuários de carteiras de criptomoeda per capita na LATAM, tornando-o target atrativo para a funcionalidade de roubo de crypto wallets. Logs de vítimas brasileiras aparecem regularmente em marketplaces da dark web, com credenciais de serviços bancários nacionais (como Nubank, Itaú, Bradesco) figurando entre os dados comercializados. A operação de distribuição via software crackeado é especialmente eficaz em mercados onde o custo de licenças de software legítimo é proibitivo. A [[operação-magnus|Operação Magnus]] de 2024 reduziu temporariamente a disponibilidade do malware, mas não eliminou o ecossistema de distribuição que continuou com variantes alternativas. **Setores impactados:** [[financial|financeiro]] - [[technology|tecnologia]] - usuários individuais de criptomoedas ## Referências - [1](https://www.threatfabric.com/blogs/redline-stealer) ThreatFabric - RedLine Stealer Analysis - [2](https://flare.io/learn/resources/blog/redline-stealer-malware) Flare - RedLine Stealer Malware Overview - [3](https://www.kroll.com/en/publications/cyber/redlinestealer-malware) Kroll - RedLine Stealer Malware Profile - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer) Malpedia - RedLine Stealer Technical Profile