RedEnergy Stealer blander Ransomware og Infostealer i ét

Zscaler ThreatLabz gjorde for nylig en spændende opdagelse, hvor de afslørede en ny variant af malware kaldet RedEnergy stealer. Denne særlige malware falder ind under kategorien Stealer-as-a-Ransomware, selvom den ikke skal forveksles med det australske selskab Red Energy.

RedEnergy stealer anvender en smart tilgang ved at bruge en falsk opdateringskampagne, der er målrettet mod forskellige industrier. Det har evnen til at stjæle følsomme data fra forskellige webbrowsere, hvilket muliggør udvinding af værdifuld information. Derudover inkorporerer det forskellige moduler til at udføre ransomware-aktiviteter. På trods af de almindelige metodenavne, der blev observeret under analyse, beholdt malwaren sit navn.

I denne blog dykker vi ned i de forskellige kampagner, der er forbundet med denne nyligt identificerede malware. Vi giver også en omfattende teknisk analyse af dens tyveri- og ransomware-egenskaber.

Tidligere i år introducerede ThreatLabz en ny trusselskategori kaldet RAT-as-a-Ransomware. Forskere har dog nu identificeret en anden hybridkategori kaldet Stealer-as-a-Ransomware, som følger en lignende tilgang. RedEnergy stealer, den seneste opdagelse, kombinerer snigende datatyveri med kryptering for at påføre maksimal skade og få kontrol over ofrene. Det er rettet mod flere industrier, herunder energiforsyninger, olie og gas, telekommunikation og maskiner. Disse fremskridt inden for malware betyder et bemærkelsesværdigt skift og betydelige fremskridt ud over traditionelle ransomware-angreb.

Prøvevarianten af Stealer-as-a-Ransomware analyseret i dette casestudie anvender en vildledende kampagne kendt som FAKEUPDATES for at lokke sine mål. Det narre dem til omgående at opdatere deres webbrowsere. Når denne ondsindede variant først er inde i systemet, udtrækker den hemmeligt følsom information og fortsætter med at kryptere kompromitterede filer. Dette efterlader ofre sårbare over for potentielt datatab, eksponering eller endda ulovligt salg af deres værdifulde data.

RedEnergy kort fortalt

ThreatLabz' seneste forskning afslører en meget sofistikeret malware-kampagne, der udnytter velrenommerede LinkedIn-sider fra industrier til at målrette mod ofre. Eksempler omfatter Philippines Industrial Machinery Manufacturing Company og forskellige organisationer i Brasilien. Angriberne starter angrebet, når brugere klikker på et link for at besøge en kompromitteret virksomheds hjemmeside fra LinkedIn. De anvender flertrinsteknikker og skjuler malwaren som browseropdateringer for at bedrage brugere.

Stealer-as-a-Ransomware: Den analyserede malware besidder dobbelte egenskaber som både stjæler og ransomware, hvilket repræsenterer en bekymrende udvikling i ransomware-angreb. Den bruger sløringsteknikker og anvender HTTPS til kommando- og kontrolkommunikation, hvilket gør detektion og analyse udfordrende.

Multi-Stage Execution: Malwaren fungerer gennem flere stadier, startende med eksekveringen af skjulte ondsindede eksekverbare filer. Det etablerer persistens, kommunikerer med DNS-servere og downloader yderligere nyttelast fra fjerntliggende steder. Mistænkelige FTP-interaktioner tyder på potentiel dataeksfiltrering og uautoriserede filuploads.

Ransomware-funktionalitet: Malwaren inkorporerer ransomware-moduler, der krypterer brugerdata med ".FACKOFF!" forlængelse, hvilket gør den utilgængelig, indtil en løsesum er betalt. Det ændrer også desktop.ini-filen for at undgå registrering og ændre filsystemets mappevisningsindstillinger.

Sletning af Shadow Drive-data: I sin sidste fase sletter malwaren skyggedrevdata og Windows-sikkerhedskopiplaner, hvilket forstærker dets ransomware-egenskaber. Den dropper en batch-fil og en løsesumseddel og kræver betaling i bytte for fildekryptering.

Driftstilstand for RedEnergy Malware

Driftsmetoden for denne trusselskampagne involverer en bedragerisk omdirigeringsteknik. Når brugere forsøger at besøge den målrettede virksomheds hjemmeside via deres LinkedIn-profil, bliver de ubevidst omdirigeret til en ondsindet hjemmeside. Der bliver de bedt om at installere, hvad der ser ud til at være en legitim browseropdatering, præsenteret som et sæt af fire forskellige browserikoner. Men i stedet for en ægte opdatering downloader den intetanende bruger ved et uheld en eksekverbar fil kendt som RedStealer.

Interessant nok, uanset hvilket browserikon brugeren vælger, bliver de omdirigeret til den samme URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Denne URL starter download af en fil med navnet setupbrowser.exe, som er en del af den ondsindede nyttelast.

Det, der gør denne trusselkampagne endnu mere vildledende, er brugen af et vildledende downloaddomæne kaldet www[.]igrejaatos2[.]org. Dette domæne udgiver sig som et ChatGpt-websted, der lokker ofre til at downloade en forfalsket offlineversion af ChatGpt. Men efter at have downloadet den påståede ChatGpt-zip-fil, erhverver offeret ubevidst den samme ondsindede eksekverbare, som er nævnt tidligere.

Det er afgørende for enkeltpersoner og organisationer at udvise ekstrem forsigtighed, når de tilgår websteder, især dem, der er linket fra LinkedIn-profiler. Omhu med at verificere ægtheden af browseropdateringer og være på vagt over for uventede fildownloads er altafgørende for at beskytte mod sådanne ondsindede kampagner.