Hash / BilgiDeger
SHA256a5acd45c86eb20baf85dfe16dcf019271d0ab2b42bfe02eab4ecb4e06f45a76d
MD509104ecaf628e13955eab74683eb1c90
SHA11280ca4d63a321c0ac9613d79cb4b6bf51e1f20b
ImpHash646167cce332c1c252cdcb1839e0cf48
Dosya Adia5acd45c86eb20baf85dfe16dcf019271d0ab2b42bfe02eab4ecb4e06f45a76d
Dosya Türüexe
Boyut527,360 bytes
Ilk Görülme2023-07-21

Tehdit Degerlendirmesi

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve oturum tokenlari birincil hedefleridir.

Tespit Edilen Yetenekler

  • Tarayici Kimlik Bilgileri
  • Cerez Hirsizligi
  • Kripto Cüzdan
  • 2FA Kodu
  • Sistem Bilgisi

MalwareBazaar Etiketleri

DownloaderexeRedlineRedLineStealer

Analiz Notu

Bu ornek RedLine ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RedLine — Malware Profile

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Malware Type
Infostealer
Programming Language
.NET C#
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
RedLine Stealer

Technical Details

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Attribution / Threat Actor

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — RedLine
# SHA256 a5acd45c86eb20baf85dfe16dcf019271d0ab2b42bfe02eab4ecb4e06f45a76d # MD5 09104ecaf628e13955eab74683eb1c90
TypeValueNote
sha256 a5acd45c86eb20baf85dfe16dcf019271d0ab2b42bfe02eab4ecb4e06f45a76d
md5 09104ecaf628e13955eab74683eb1c90

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
github.com domain — HTTP active —
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive —
193.56.255.42 ip 15000 TCP inactive —
5.188.87.39 ip 30000 TCP inactive —
46.205.202.219 ip 1912 TCP inactive —
217.65.2.14 ip 1912 TCP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
DownloaderexeRedlineRedLineStealer