RedLine Stealer zidentyfikowany jako główne źródło skradzionych danych uwierzytelniających w marketach sieci Dark Net
Według Insikt Group, działu badań nad cyberbezpieczeństwem Recorded Future, znaczna część skradzionych danych uwierzytelniających sprzedawanych jest na dwóch podziemnych platformach sieci Dark Net i została zebrana za pośrednictwem szkodliwego oprogramowania RedLine Stealer.
RedLine Stealer, został wykryty po raz pierwszy w marcu 2020 roku, jest częścią rodziny tzw. złodziei informacji, jako formy złośliwego oprogramowania, które infekuje komputer, a jego głównym celem jest przechwycenie jak największej ilości danych użytkownika, a następnie dostarczenie ich atakującym, którzy często sprzedają je online.
RedLine Stealer posiada funkcje gromadzenia danych, takie jak możliwość wydobywania danych logowania z przeglądarek internetowych, aplikacji FTP, aplikacji e-mail, komunikatorów internetowych i sieci VPN. RedLine może również zbierać pliki cookie uwierzytelniające i numery kart kredytowych zapisanych w przeglądarkach, dzienników czatów, plików lokalnych i baz danych portfeli kryptowalut.
Od marca 2020 roku szkodliwe oprogramowanie jest sprzedawane na wielu podziemnych stronach hakerskich przez programistę o nazwie REDGlade. Po pozytywnych opiniach wątku na forum hakerskim, w kilka miesięcy, nieautoryzowane wersje RedLine Stealer zostały rozpowszechnione na forach hakerskich, ułatwiając rozprzestrzenianie się jeszcze większej liczbie cyberprzestępców, którzy nie musieli za to płacić.
Ale jeszcze przed wydaniem crackowanej wersji RedLine zyskała oddanych zwolenników. Według raportu opublikowanego październiku 2021 przez Insikt Group, większość skradzionych danych uwierzytelniających dostępnych do sprzedaży na dwóch podziemnych rynkach pochodzi z komputerów zainfekowanych RedLine Stealer.
Badacze Insikt stwierdzili: „Zarówno rynek Amigos, jak i rynek rosyjski zostały zidentyfikowane przez grupę Insikt (czerwiec 2021 r.), która regularnie publikowała identyczne oferty, zawierające te same znaczniki czasu, używane warianty kradzieży informacji, lokalizacje geograficzne dotkniętych maszyn i dostawców usług internetowych”.
Wyniki badań zespołu Insikt są zgodne z podobnymi badaniami przeprowadzonymi przez firmę KELA zajmującą się wywiadem zagrożeń z lutego 2020 r., firma ta odkryła, że około 90% skradzionych danych uwierzytelniających sprzedawanych na Genesis Market pochodzi z infekcji za pomocą złodzieja informacji AZORult.
Zgodnie z tymi dwoma raportami, podziemne rynki cyberprzestępczości są podzielone i często działają z własnymi niezależnymi dostawcami, tak jak legalne rynki mają własne wybory dla poszczególnych partnerów biznesowych.
Poprzez ściganie producentów, dealerów tzw. złodziei informacji, fragmentacja ta otwiera drogę do osłabienia podaży na wielu podziemnych rynkach. W lutym 2020 r. aktualizacja Chrome (która zmodyfikowała sposób zapisywania poświadczeń w przeglądarce) wstrzymała przepływ nowo skradzionych danych uwierzytelniających na Genesis Market na wiele miesięcy, aż do zmodyfikowania złodzieja AZORult w celu obsługi nowego formatu.