Der Vorfall
RedLine Stealer tauchte erstmals im März 2020 in russischsprachigen Untergrundforen auf und entwickelte sich innerhalb kürzester Zeit zum meistverbreiteten Info-Stealer der Welt. Die Malware wurde als Malware-as-a-Service (MaaS) vermarktet: Für 150 US-Dollar pro Monat oder einen einmaligen Betrag von 800 US-Dollar konnte jeder – auch ohne technische Kenntnisse – eine eigene Kampagne starten.
Die Reichweite von RedLine war enorm. Laut einer Analyse von Insikt Group (Recorded Future) war RedLine im Jahr 2022 für den Diebstahl von über 170 Millionen Passwörtern verantwortlich. Die Sicherheitsfirma Flare analysierte 2023 über 19 Millionen Stealer-Logs, die in Untergrundforen und Telegram-Kanälen zum Verkauf angeboten wurden – der Großteil stammte von RedLine.
Die gestohlenen Daten hatten weitreichende Konsequenzen: Im Januar 2022 nutzten Hacker per RedLine gestohlene Zugangsdaten, um in die Systeme des Spieleentwicklers Electronic Arts (EA) einzubrechen und 780 GB Quellcode zu stehlen, darunter den Code der FIFA-21-Engine und der Frostbite-Engine. Im September 2021 wurden per RedLine gestohlene VPN-Zugangsdaten genutzt, um in das Netzwerk des Leitungswasser-Versorgers Oldsmar in Florida einzudringen. Cisco Talos dokumentierte, dass RedLine-gestohlene Daten als Ausgangspunkt für den Lapsus$-Hack auf Uber im September 2022 dienten.
Im Oktober 2024 gelang Strafverfolgungsbehörden aus den Niederlanden, den USA, Belgien und dem Vereinigten Königreich mit der Operation Magnus ein bedeutender Schlag gegen die RedLine-Infrastruktur. Server wurden beschlagnahmt und zwei Verdächtige identifiziert. Doch bis dahin hatte RedLine bereits Jahre lang weltweit Schaden angerichtet.
Wie der Angriff funktionierte
RedLine folgte einem mehrstufigen Angriffsmuster, das auf maximale Datenausbeute in kürzester Zeit optimiert war:
Stufe 1 – Vielfältige Verteilungswege: RedLine wurde über zahlreiche Kanäle verbreitet. Zu den häufigsten gehörten: gefälschte Software-Downloads (gecracktes Photoshop, angebliche Game-Cheats, gefälschte VPN-Installer), bösartige Google-Anzeigen, die auf täuschend echte Nachahmer-Websites von Software wie Notepad++, Signal oder OBS Studio führten, YouTube-Videos mit Links zu angeblichen Crack-Tools, Phishing-E-Mails mit schädlichen Anhängen und kompromittierte Discord-Server, die Malware als Gaming-Tools verteilten.
Stufe 2 – Getarnter Dropper: Die initiale Datei war typischerweise ein kleiner Dropper – oft als Installer oder Setup-Datei getarnt, manchmal in ein ZIP- oder RAR-Archiv verpackt, manchmal als ISO- oder IMG-Datei, um Windows-Mark-of-the-Web-Schutzmaßnahmen zu umgehen. Der Dropper war häufig mit gestohlenen Code-Signing-Zertifikaten signiert.
Stufe 3 – Nachladen der Stealer-Payload: Der Dropper kontaktierte einen Command-and-Control-Server und lud die eigentliche RedLine-Payload nach. Diese wurde häufig per Process Hollowing in einen legitimen Windows-Prozess injiziert – etwa AppLaunch.exe oder RegAsm.exe –, um der Erkennung zu entgehen.
Stufe 4 – Systematischer Datendiebstahl: Einmal aktiv, durchsuchte RedLine das System in wenigen Sekunden systematisch nach wertvollen Daten: Browser-Passwörter aus Chrome, Firefox, Edge, Opera und Brave; Browser-Cookies und Session-Tokens (die den Zugang zu angemeldeten Konten ermöglichten, ohne das Passwort zu kennen); Kryptowährungs-Wallets (Metamask, Exodus, Electrum und über 30 weitere); Autofill-Daten, Kreditkartennummern, gespeicherte Formulardaten; VPN-Zugangsdaten (NordVPN, OpenVPN, ProtonVPN); FTP-Zugangsdaten (FileZilla, WinSCP); Discord-Tokens, Telegram-Session-Daten; Steam- und andere Gaming-Accounts sowie Systeminformationen (Hardware, installierte Software, Netzwerk, Screenshots).
Stufe 5 – Datenexfiltration: Alle gesammelten Daten wurden verschlüsselt an den C2-Server des Angreifers gesendet. Der gesamte Vorgang – vom Ausführen des Droppers bis zum Abschluss der Exfiltration – dauerte oft weniger als 60 Sekunden.
Stufe 6 – Verwertung der Daten: Die gestohlenen Daten wurden in „Logs" zusammengefasst und auf Untergrundforen und Telegram-Kanälen verkauft. Session-Cookies wurden genutzt, um Konten zu übernehmen, ohne Zwei-Faktor-Authentifizierung auslösen zu müssen. Gestohlene Zugangsdaten dienten als Einfallstor für weitergehende Angriffe auf Unternehmensnetzwerke.
Warum Virenscanner versagten
RedLine war für Virenscanner ein besonders schwieriger Gegner, und zwar aus strukturellen Gründen:
Das MaaS-Modell bedeutete, dass Tausende verschiedene Akteure gleichzeitig eigene RedLine-Kampagnen fuhren – jede mit leicht unterschiedlichen Dropper-Varianten, Verschleierungstechniken und Verteilungswegen. Die schiere Vielfalt an Varianten überforderte signaturbasierte Erkennung chronisch.
Viele RedLine-Dropper nutzten gestohlene Code-Signing-Zertifikate oder wurden mit kommerziellen Packern und Obfuskatoren verschleiert, die speziell dafür entwickelt wurden, Virenscanner zu umgehen. Einige Varianten prüften aktiv, ob sie in einer Sandbox oder auf einem Analysten-System liefen, und verhielten sich in diesem Fall harmlos.
Die Geschwindigkeit des Datendiebstahls war ein weiteres Problem: RedLine sammelte und exfiltrierte alle Daten in unter einer Minute. Selbst wenn ein Virenscanner die Malware nach 90 Sekunden erkannte und entfernte – die Daten waren bereits gestohlen. Die Erkennung kam zu spät, um den Schaden zu verhindern.
Die Verteilung über Google-Anzeigen und gefälschte Download-Seiten unterlief Webfilter, die auf bekannte Malware-Domains setzten. Jede Kampagne nutzte frische Domains, die noch nicht auf Blacklists standen.
So hätte Deep Freeze geschützt
RedLine Stealer demonstriert eindrücklich, warum ein Schutzkonzept mehr braucht als nur Erkennung – und warum Deep Freeze eine entscheidende zusätzliche Sicherheitsschicht bietet:
Die Stealer-Payload überlebt keinen Neustart: Auch wenn der Dropper ausgeführt und die RedLine-Payload nachgeladen wurde – beim nächsten Reboot ist alles verschwunden. Die manipulierten Prozesse, die injizierten DLLs, die temporären Dateien – alles wird auf den Originalzustand zurückgesetzt.
Persistenz wird eliminiert: Einige RedLine-Varianten installierten Scheduled Tasks oder Registry-Einträge, um nach einem Neustart erneut zu starten und weitere Daten zu sammeln. Auf einer eingefrorenen Systempartition sind diese Persistenz-Mechanismen beim nächsten Reboot verschwunden.
Browser-Daten werden zurückgesetzt: Hier wird es besonders interessant: Auf einem eingefrorenen System werden auch gespeicherte Browser-Passwörter, Cookies und Session-Tokens bei jedem Neustart auf den Originalzustand zurückgesetzt. Selbst wenn RedLine diese Daten einmal erfolgreich gestohlen hat, sind die Session-Cookies nach dem nächsten Neustart ungültig, da der Browser-Zustand zurückgesetzt wurde. Der Angreifer kann die Cookies nicht für Kontenübernahmen nutzen.
Wiederholte Infektionen werden gestoppt: Manche RedLine-Kampagnen setzten auf wiederholte Infektionen über denselben Vektor. Auf einem eingefrorenen System wird auch der Dropper selbst beim Neustart entfernt. Der Nutzer müsste die schädliche Datei aktiv erneut herunterladen und ausführen.
Krypto-Wallets werden geschützt: Lokale Kryptowährungs-Wallets, die auf einem eingefrorenen System gespeichert sind, werden bei jedem Neustart in ihren Originalzustand zurückversetzt. Selbst wenn RedLine Wallet-Daten ausliest, kann der Angreifer sie nur innerhalb des aktuellen Sitzungsfensters nutzen.
Ein wichtiger Hinweis: RedLine stiehlt Daten in unter einer Minute. Deep Freeze verhindert nicht den initialen Datendiebstahl innerhalb einer laufenden Sitzung. Aber es verhindert, dass die Malware dauerhaft auf dem System bleibt, und es begrenzt den Schaden, indem Session-Daten bei jedem Neustart invalidiert werden. Für maximalen Schutz solltest Du Dein System regelmäßig neu starten und keine Passwörter im Browser speichern, sondern einen dedizierten Passwort-Manager nutzen.
Die Lehre
- Info-Stealer sind die unsichtbare Epidemie. 170 Millionen gestohlene Passwörter allein im Jahr 2022 – und die meisten Opfer merkten nicht einmal, dass sie betroffen waren. Deep Freeze reduziert das Zeitfenster für Datendiebstahl auf eine einzige Sitzung.
- Malware-as-a-Service demokratisiert Cyberkriminalität. Für 150 Dollar im Monat kann jeder zum Datendieb werden. Die Masse an Varianten, die daraus entsteht, ist mit Signaturen nicht beherrschbar. Deep Freeze braucht keine Signaturen.
- Session-Cookies sind wertvoller als Passwörter. Mit einem gestohlenen Cookie kann ein Angreifer Dein Konto übernehmen, ohne Passwort und ohne Zwei-Faktor-Authentifizierung. Auf einem eingefrorenen System werden Cookies beim Neustart zurückgesetzt und damit wertlos.
- Google-Anzeigen und gefälschte Websites sind professionell. Die Verteilungskanäle von RedLine waren so gut gemacht, dass selbst erfahrene Nutzer darauf hereinfielen. Wenn Du nicht sicher sein kannst, dass jede heruntergeladene Datei sauber ist, brauchst Du einen Schutz, der Fehler automatisch korrigiert.
- Geschwindigkeit schlägt Erkennung. RedLine stiehlt Daten in unter einer Minute – schneller, als die meisten Virenscanner reagieren. Der beste Schutz ist, dafür zu sorgen, dass die Malware beim nächsten Neustart verschwunden ist und die gestohlenen Session-Daten ungültig werden.