Die Schadsoftware tarnt sich als legitime Windows-Software, u.a. als Installer für populäre Dienste wie Telegram, Discord, Signal, als Windows Driver Updater oder Bildbearbeitungssoftware und entwendet eine Vielzahl vertraulicher Daten von betroffenen Windows-Systemen.
Verbreitet wird der Redline Stealer über gefälschte, legitim aussehende Download-Seiten, die in Google-Suchen als Anzeige gelistet werden, oder per Link in E-Mails.
Sobald die Schadsoftware aktiv wird, kommt es zum Abfluss u.a. der folgenden Daten:
- Im Browser gespeicherte Zugangsdaten, Kreditkartendaten und Cookies
- Zugangsdaten zu OpenVPN, NordVPN, ProtonVPN
- in FileZilla gespeicherte FTP- oder SSH-Zugangsdaten
- Zugangsdaten und Logs zu Messengern wie Telegram und Discord
Die Zugangsdaten werden dann für weitere Schadaktivität missbraucht.
Bitte beachten Sie deshalb die folgenden Regeln, um sich zu schützen:
- Speichern Sie zumindest keine Zugangsdaten von besonders schützenswerten Konten im Browser ab.
- Dies gilt insbesondere für die TUB-Konto-Zugangsdaten, aber auch Konten wie Ihr privates E-Mail-Konto oder das Google-Konto.
- Laden Sie keine Software aus nicht vertrauenswürdigen Quellen.
- Prüfen Sie, ob Seiten, von denen Sie Installationsprogramme herunterladen, tatsächlich die Original-Webseiten der entsprechenden Anbieter darstellen
- Wenn Sie eine E-Mail erhalten, die einen Link enthält, mit dem ein Download veranlasst werden soll, dann folgen Sie diesem Link nicht und führen keine weitere Interaktion durch
- Klicken Sie in Office-Dateien, die Sie via E-Mail erhalten, niemals auf die Schaltfläche "Inhalt aktivieren" in einem gelben Balken
Falls Sie den Eindruck haben, bereits einen entsprechenden Fehler begangen haben, dann ändern Sie alle Ihre Passwörter auf einem anderen, vertrauenswürdigen Gerät und melden Sie den Vorfall an cert(at)tu-berlin.de.
