"Redline Stealer" es un malware que roba información y credenciales de los equipos que infecta, del que informamos recientemente en Escudo Digital. Según señalamos, se detectó por primera vez en marzo de 2020 en correos electrónicos de phishing que aprovechaban la incertidumbre generada por la Covid-19, y había estado a la venta en la dark web por entre 150 y 200 dólares. Además, se sospechaba que los ciberdelincuentes detrás de RedLine Stealer también venden en la dark net la información que roban a través de él y ahora Fortinet lo ha confirmado al descubrir que el malware ha tomado una nueva forma para volver a atacar. Esta vez, explotando el interés que genera la variante ómicron, algo que ya había ocurrido anteriormente.
FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet, encontró un archivo que supuestamente recogía estadísticas acerca de esta cepa con el nombre "Omicron Stats.exe", pero que resultó ser una variante del malware RedLine Stealer.
"Si bien no hemos podido identificar el vector de infección para esta variante en particular, creemos que se distribuye por correo electrónico", indica la compañía de ciberseguridad en el informe que ha dedicado a esta ciberamenaza.
"Según la información recopilada por FortiGuard Labs, las posibles víctimas de esta variante de RedLine Stealer se distribuyen en 12 países. Esto indica que se trata de un ataque generalizado y que los actores de la amenaza no se dirigieron a organizaciones o individuos específicos", advierte.
Roba todo tipo de información, y en la dark web se vende muy barata
Siguiendo la información de Fortinet, este malware está afectando a los usuarios del sistema operativo Windows y se envía incrustado en el documento "Omicron Stats.exe", diseñado para que la víctima lo abra y se genere su descarga automática.
RedLine Stealer roba las credenciales almacenadas para aplicaciones VPN – como NordVPN, OpenVPN y ProtonVPN – y también apunta a información del sistema y a datos almacenados del navegador como las contraseñas de inicio de sesión, los detalles de la tarjeta de crédito, las cookies, el contenido de mensajería instantánea, las credenciales de FTP o los datos de la billetera de criptomonedas.
"La información recopilada por RedLine Stealer se vende en el mercado de la dark web por tan solo 10 dólares estadounidenses el conjunto de credenciales de usuario", asegura la firma de ciberseguridad. En este sentido, también advierte que RedLine Stealer no está diseñado para tener "un efecto catastrófico en la máquina comprometida", pero que la información que roba "puede ser utilizada para acciones maliciosas por el mismo ciberdelincuente o vendida a otro actor de amenazas para actividades futuras".