A RedLine infostealer backendjének elemzése
2024. október 28-án a holland nemzeti rendőrség az FBI, az Eurojust és számos más bűnüldöző szervezet a hírhedt RedLine Stealer malware-as-a-service (MaaS) és annak META Stealer nevű klónja ellen hajtott végre akciót . Az Operation Magnus eredményeképpen három hollandiai szervert foglaltak le, két domain-t lefoglaltak, két személyt őrizetbe vettek Belgiumban, és vádat emeltek az egyik feltételezett elkövető ellen az Egyesült Államokban.
Még 2023 áprilisában az ESET részt vett a RedLine malware részleges megszakítási műveletében, amely a malware control panel-jének dead-drop resolvereként használt több GitHub tároló eltávolításából állt. Ez idő tájt a Flare kutatótársaival együttműködve az ESET kutatói megvizsgálták e kártevőcsalád korábban nem dokumentált backend moduljait. Ezek a modulok nem lépnek közvetlen kapcsolatba a rosszindulatú szoftverrel, hanem inkább a hitelesítést kezelik, és a control panel számára biztosítanak funkciókat.Az ESET 2024. november 8-án közzétette a 2023-ban tett megállapításaikat, valamint néhány újabb felfedezést, amelyeket a holland nemzeti rendőrség által megosztott forráskód és minták alapján tettek.
A RedLine minden összetevője, magától a rosszindulatú programtól kezdve a backend hitelesítési szerverig, C# nyelven, a .NET keretrendszerrel íródott. Az ESET által elemzett verziók a Windows Communication Foundation (WCF) keretrendszert használták az egymással való kommunikációhoz. A RedLine legújabb verziója WCF helyett REST API-t használ a backenddel való kommunikációhoz.
