RedEnergy Stealer vereint Ransomware und Infostealer in einem

Zscaler ThreatLabz machte kürzlich eine faszinierende Entdeckung und entdeckte eine neue Malware-Variante namens RedEnergy Stealer. Diese spezielle Malware fällt in die Kategorie „Stealer-as-a-Ransomware“, obwohl sie nicht mit dem australischen Unternehmen Red Energy verwechselt werden sollte.

Der RedEnergy-Stealer verfolgt einen cleveren Ansatz, indem er eine gefälschte Update-Kampagne nutzt, die auf verschiedene Branchen abzielt. Es verfügt über die Fähigkeit, sensible Daten aus verschiedenen Webbrowsern zu stehlen und so die Extraktion wertvoller Informationen zu ermöglichen. Darüber hinaus sind verschiedene Module zur Durchführung von Ransomware-Aktivitäten integriert. Trotz der bei der Analyse beobachteten gebräuchlichen Methodennamen behielt die Malware ihren Namen.

In diesem Blog befassen wir uns mit den verschiedenen Kampagnen im Zusammenhang mit dieser kürzlich identifizierten Malware. Wir bieten außerdem eine umfassende technische Analyse der Stealer- und Ransomware-Eigenschaften.

Anfang des Jahres führte ThreatLabz eine neuartige Bedrohungskategorie namens RAT-as-a-Ransomware ein. Allerdings haben Forscher nun eine weitere Hybridkategorie namens Stealer-as-a-Ransomware identifiziert, die einen ähnlichen Ansatz verfolgt. Der RedEnergy-Stealer, die neueste Entdeckung, kombiniert heimlichen Datendiebstahl mit Verschlüsselung, um maximalen Schaden anzurichten und die Kontrolle über die Opfer zu erlangen. Es richtet sich an mehrere Branchen, darunter Energieversorger, Öl und Gas, Telekommunikation und Maschinenbau. Diese Fortschritte bei Malware bedeuten einen bemerkenswerten Wandel und einen erheblichen Fortschritt über herkömmliche Ransomware-Angriffe hinaus.

Die in dieser Fallstudie analysierte Beispielvariante von Stealer-as-a-Ransomware nutzt eine betrügerische Kampagne namens FAKEUPDATES, um ihre Ziele anzulocken. Es verleitet sie dazu, ihre Webbrowser umgehend zu aktualisieren. Sobald diese bösartige Variante im System ist, extrahiert sie heimlich vertrauliche Informationen und verschlüsselt die kompromittierten Dateien. Dies macht die Opfer anfällig für potenziellen Datenverlust, Offenlegung oder sogar den illegalen Verkauf ihrer wertvollen Daten.

RedEnergy in Kürze

Die neuesten Untersuchungen von ThreatLabz decken eine hochentwickelte Malware-Kampagne auf, die seriöse LinkedIn-Seiten von Branchen ausnutzt, um Opfer anzugreifen. Beispiele hierfür sind die Philippines Industrial Machinery Manufacturing Company und verschiedene Organisationen in Brasilien. Die Angreifer starten den Angriff, wenn Benutzer auf einen Link klicken, um über LinkedIn die Website eines manipulierten Unternehmens zu besuchen. Sie nutzen mehrstufige Techniken und tarnen die Malware als Browser-Updates, um Benutzer zu täuschen.

Stealer-as-a-Ransomware: Die analysierte Malware verfügt über doppelte Fähigkeiten sowohl als Stealer als auch als Ransomware, was eine besorgniserregende Entwicklung bei Ransomware-Angriffen darstellt. Es nutzt Verschleierungstechniken und nutzt HTTPS für die Befehls- und Kontrollkommunikation, was die Erkennung und Analyse zu einer Herausforderung macht.

Mehrstufige Ausführung: Die Malware durchläuft mehrere Phasen, beginnend mit der Ausführung getarnter bösartiger ausführbarer Dateien. Es stellt Persistenz her, kommuniziert mit DNS-Servern und lädt zusätzliche Nutzlasten von entfernten Standorten herunter. Verdächtige FTP-Interaktionen deuten auf eine mögliche Datenexfiltration und unbefugte Datei-Uploads hin.

Ransomware-Funktionalität: Die Malware enthält Ransomware-Module, die Benutzerdaten mit dem „.FACKOFF!“ verschlüsseln. Verlängerung und macht es unzugänglich, bis ein Lösegeld gezahlt wird. Außerdem wird die Datei „desktop.ini“ geändert, um einer Erkennung zu entgehen und die Anzeigeeinstellungen für Dateisystemordner zu ändern.

Löschen von Schattenlaufwerksdaten: Im Endstadium löscht die Malware Schattenlaufwerksdaten und Windows-Sicherungspläne und verstärkt so ihre Ransomware-Eigenschaften. Es hinterlässt eine Batch-Datei und einen Lösegeldschein und fordert eine Zahlung im Austausch für die Entschlüsselung der Datei.

Funktionsweise der RedEnergy-Malware

Die Vorgehensweise dieser Bedrohungskampagne beinhaltet eine betrügerische Umleitungstechnik. Wenn Benutzer versuchen, über ihr LinkedIn-Profil die Website des Zielunternehmens zu besuchen, werden sie unwissentlich auf eine bösartige Website weitergeleitet. Dort werden sie aufgefordert, ein scheinbar legitimes Browser-Update zu installieren, das in Form von vier verschiedenen Browsersymbolen dargestellt wird. Anstelle eines echten Updates lädt der ahnungslose Benutzer jedoch versehentlich eine ausführbare Datei namens RedStealer herunter.

Interessanterweise wird der Benutzer unabhängig davon, welches Browsersymbol er auswählt, zur gleichen URL weitergeleitet: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Diese URL initiiert den Download einer Datei namens setupbrowser.exe, die Teil der bösartigen Nutzlast ist.

Was diese Bedrohungskampagne noch irreführender macht, ist die Verwendung einer irreführenden Download-Domain namens www[.]igrejaatos2[.]org. Diese Domain gibt sich als ChatGpt-Seite aus und verleitet Opfer dazu, eine gefälschte Offline-Version von ChatGpt herunterzuladen. Beim Herunterladen der angeblichen ChatGpt-ZIP-Datei erwirbt das Opfer jedoch unwissentlich dieselbe schädliche ausführbare Datei, die zuvor erwähnt wurde.

Für Einzelpersonen und Organisationen ist es von entscheidender Bedeutung, beim Zugriff auf Websites, insbesondere auf solche, die über LinkedIn-Profile verlinkt sind, äußerste Vorsicht walten zu lassen. Um sich vor solchen bösartigen Kampagnen zu schützen, ist die sorgfältige Überprüfung der Authentizität von Browser-Updates und die Vorsicht vor unerwarteten Dateidownloads von größter Bedeutung.