RedLineCyberという脅威アクターが配布するマルウェアは、インフォスティーラーみたいな情報収集無し、RATみたいなリモート操作機能無し、C2サーバの指令を確認したりC2サーバからの指令を待つ機能無し。
その主な機能は、仮想通貨アドレスがクリップボードにコピーされた際にすり替えるだけ。
通信やその他の無駄な機能が無いからこそ、検知されにくい。
RedLineCyberのマルウェアの主な特徴
RedLineCyberは、「RedLine Solutions」と名乗って複数のDiscordサーバで仮想通貨ストリーマー向けのセキュリティおよびユーティリティツールの開発業者を自称していたらしい。
機能としては、仮想通貨アドレスの誤入力を防ぐためのクリップボード保護ツールという宣伝。実際は全然保護してない、むしろ積極的に書き換えてる。
今回のマルウェアとの関連性は分からないが、RedLineCyberはインフォスティーラーか何か?で盗んだ情報の提供をハッカーフォーラムで行っていたらしい?
主な機能
・永続化->HKCU\Software\Microsoft\Windows\CurrentVersion\Run
・クリップボード監視->300ミリ秒ごとにクリップボードデータを読み取る
・仮想通貨アドレスの検出->BTC,ETH,SOL,DOGE,LTC,TRXのウォレットアドレス検知
・クリップボードのアドレスをすり替え->事前に設定しておいたアドレスに変更される。
こんな感じで、自分のアドレスをコピペしたと思ったら知らん人のアドレスをコピペしている。何度コピペしても、同じアドレスがペーストされるから違っても間違ってないかと思ってしまうか???
あと、RedLineという名前を使っているが、解析の結果RedLineマルウェアの機能とは関連性がみられないとのこと。
これは、もしかしてマルウェア利用者やマルウェア解析者を混乱させようとしているのか。それとも、RedLineっていう名前が好きなだけか?
高度というか、スマートというべきか、ミニマリストなだけかもしれない
最低限の機能だけ持たせたマルウェアで通信機能が一切ないというのは、なかなか興味深いと思った。
こんな感じで普段は一切通信しないし、全く悪意ある動作をせずに決まった時間が来た際に急に認証情報窃取かADハッキング始めたら凄そう。
