Quatro repositórios GitHub usados pelos painéis de controle do malware RedLine foram suspensos, interrompendo as operações do programa que rouba senhas salvas em navegadores da internet, informou a empresa de segurança cibernética ESET. Trata-se de um malware de commodity ativo desde pelo menos o início de 2020.
Escrito em .NET e com amplos recursos de exfiltração de dados, o malware visa informações do sistema, cookies e outros dados do navegador, credenciais de login para vários aplicativos e serviços, informações de cartão de crédito e carteiras criptográficas.
Comercializado no modelo stealer-as-a-service (ladrão como serviço, em tradução livre), o RedLine foi visto sendo oferecido por 23 dos 34 grupos de língua russa que distribuíam infostealers no ano passado. Cada um dos grupos tinha em média 200 membros.
O RedLine é vendido em fóruns de cibercriminosos e canais do Telegram. Os afiliados adquirem acesso a um painel de controle completo que atua como um servidor de comando e controle (C&C), permitindo gerar novas amostras e gerenciar informações roubadas.
Recentemente, operadores de ameaças foram vistos distribuindo o malware por meio do downloader PureCrypter, de solicitações falsas de assinatura do Adobe Acrobat Sign e documentos maliciosos do Microsoft OneNote.
Veja isso
Anúncios do Google são usados para distribuir malware
Código-fonte do Twitter vazou por meio do repositório GitHub
Trabalhando em conjunto com a provedora de plataforma SaaS Flare, a ESET descobriu que os painéis de controle do RedLine usam repositórios GitHub como resolvedores de dead-drop. Os pesquisadores de segurança identificaram quatro desses repositórios e alertaram a plataforma de colaboração de código da Microsoft. O GitHub suspendeu os repositórios, interrompendo as operações do RedLine.
“Não foram observados canais alternativos. A remoção desses repositórios deve interromper a autenticação dos painéis atualmente em uso. Embora isso não afete os servidores de back-end reais, forçará os operadores da RedLine a distribuir novos painéis para seus clientes”, diz a ESET.
Stealer-as-a-service é uma das três principais categorias de cibercrime como serviço que provavelmente prevalecerá neste ano, junto com ransomware-as-a-service e vítimas-as-a-service.