Το RedEnergy Stealer αναμιγνύει Ransomware και Infostealer σε ένα

Το Zscaler ThreatLabz έκανε πρόσφατα μια ενδιαφέρουσα ανακάλυψη, αποκαλύπτοντας μια νέα παραλλαγή κακόβουλου λογισμικού που ονομάζεται RedEnergy stealer. Το συγκεκριμένο κακόβουλο λογισμικό εμπίπτει στην κατηγορία του Stealer-as-a-Ransomware, αν και δεν πρέπει να μπερδευτεί με την αυστραλιανή εταιρεία Red Energy.

Το RedEnergy stealer υιοθετεί μια έξυπνη προσέγγιση χρησιμοποιώντας μια καμπάνια ψεύτικης ενημέρωσης, στοχεύοντας διάφορες βιομηχανίες. Διαθέτει τη δυνατότητα κλοπής ευαίσθητων δεδομένων από διαφορετικά προγράμματα περιήγησης ιστού, επιτρέποντας την εξαγωγή πολύτιμων πληροφοριών. Επιπλέον, ενσωματώνει διάφορες ενότητες για την εκτέλεση δραστηριοτήτων ransomware. Παρά τα κοινά ονόματα μεθόδων που παρατηρήθηκαν κατά την ανάλυση, το κακόβουλο λογισμικό διατήρησε το όνομά του.

Σε αυτό το ιστολόγιο, εμβαθύνουμε στις διάφορες καμπάνιες που σχετίζονται με αυτό το κακόβουλο λογισμικό που εντοπίστηκε πρόσφατα. Παρέχουμε επίσης μια ολοκληρωμένη τεχνική ανάλυση των χαρακτηριστικών του κλέφτη και του ransomware.

Νωρίτερα φέτος, το ThreatLabz παρουσίασε μια νέα κατηγορία απειλών που ονομάζεται RAT-as-a-Ransomware. Ωστόσο, οι ερευνητές έχουν πλέον εντοπίσει μια άλλη υβριδική κατηγορία που ονομάζεται Stealer-as-a-Ransomware, η οποία ακολουθεί παρόμοια προσέγγιση. Το RedEnergy stealer, η τελευταία ανακάλυψη, συνδυάζει κρυφή κλοπή δεδομένων με κρυπτογράφηση για να προκαλέσει τη μέγιστη ζημιά και να αποκτήσει τον έλεγχο των θυμάτων. Στοχεύει σε διάφορους κλάδους, συμπεριλαμβανομένων των ενεργειακών επιχειρήσεων κοινής ωφέλειας, του πετρελαίου και του φυσικού αερίου, των τηλεπικοινωνιών και των μηχανημάτων. Αυτές οι εξελίξεις στο κακόβουλο λογισμικό σηματοδοτούν μια αξιοσημείωτη αλλαγή και σημαντική πρόοδο πέρα από τις παραδοσιακές επιθέσεις ransomware.

Το δείγμα παραλλαγής του Stealer-as-a-Ransomware που αναλύθηκε σε αυτήν τη μελέτη περίπτωσης χρησιμοποιεί μια παραπλανητική καμπάνια γνωστή ως FAKEUPDATES για να δελεάσει τους στόχους της. Τους ξεγελάει ώστε να ενημερώνουν αμέσως τα προγράμματα περιήγησής τους. Μόλις μπει στο σύστημα, αυτή η κακόβουλη παραλλαγή εξάγει κρυφά ευαίσθητες πληροφορίες και προχωρά στην κρυπτογράφηση παραβιασμένων αρχείων. Αυτό αφήνει τα θύματα ευάλωτα σε πιθανή απώλεια δεδομένων, έκθεση ή ακόμα και παράνομη πώληση των πολύτιμων δεδομένων τους.

Εν συντομία RedEnergy

Η τελευταία έρευνα του ThreatLabz αποκαλύπτει μια εξαιρετικά εξελιγμένη καμπάνια κακόβουλου λογισμικού που εκμεταλλεύεται αξιόπιστες σελίδες LinkedIn βιομηχανιών για να στοχεύσει θύματα. Παραδείγματα περιλαμβάνουν την Philippines Industrial Machinery Manufacturing Company και διάφορους οργανισμούς στη Βραζιλία. Οι εισβολείς ξεκινούν την επίθεση όταν οι χρήστες κάνουν κλικ σε έναν σύνδεσμο για να επισκεφτούν τον ιστότοπο μιας παραβιασμένης εταιρείας από το LinkedIn. Χρησιμοποιούν τεχνικές πολλαπλών σταδίων και συγκαλύπτουν το κακόβουλο λογισμικό ως ενημερώσεις προγράμματος περιήγησης για να εξαπατήσουν τους χρήστες.

Stealer-as-a-Ransomware: Το αναλυόμενο κακόβουλο λογισμικό διαθέτει διπλές δυνατότητες τόσο ως stealer όσο και ως ransomware, που αντιπροσωπεύουν μια ανησυχητική εξέλιξη στις επιθέσεις ransomware. Χρησιμοποιεί τεχνικές συσκότισης και χρησιμοποιεί HTTPS για επικοινωνία εντολών και ελέγχου, καθιστώντας την ανίχνευση και την ανάλυση προκλητική.

Εκτέλεση πολλαπλών σταδίων: Το κακόβουλο λογισμικό λειτουργεί σε πολλαπλά στάδια, ξεκινώντας με την εκτέλεση συγκεκαλυμμένων κακόβουλων εκτελέσιμων αρχείων. Καθιερώνει σταθερότητα, επικοινωνεί με διακομιστές DNS και πραγματοποιεί λήψη πρόσθετων ωφέλιμων φορτίων από απομακρυσμένες τοποθεσίες. Οι ύποπτες αλληλεπιδράσεις FTP υποδηλώνουν πιθανή εξαγωγή δεδομένων και μη εξουσιοδοτημένες μεταφορτώσεις αρχείων.

Λειτουργικότητα Ransomware: Το κακόβουλο λογισμικό ενσωματώνει μονάδες ransomware που κρυπτογραφούν τα δεδομένα χρήστη με το ".FACKOFF!" επέκταση, καθιστώντας το απρόσιτο μέχρι να πληρωθούν λύτρα. Τροποποιεί επίσης το αρχείο desktop.ini για να αποφύγει τον εντοπισμό και να αλλάξει τις ρυθμίσεις εμφάνισης φακέλου συστήματος αρχείων.

Διαγραφή δεδομένων Shadow Drive: Στο τελικό του στάδιο, το κακόβουλο λογισμικό διαγράφει δεδομένα σκιώδη μονάδα δίσκου και σχέδια δημιουργίας αντιγράφων ασφαλείας των Windows, ενισχύοντας τα χαρακτηριστικά του ransomware. Καταρρίπτει ένα αρχείο δέσμης και ένα σημείωμα λύτρων, απαιτώντας πληρωμή σε αντάλλαγμα για αποκρυπτογράφηση αρχείου.

Τρόπος λειτουργίας του κακόβουλου λογισμικού RedEnergy

Η μέθοδος λειτουργίας αυτής της εκστρατείας απειλής περιλαμβάνει μια δόλια τεχνική ανακατεύθυνσης. Όταν οι χρήστες προσπαθούν να επισκεφτούν τον ιστότοπο της στοχευόμενης εταιρείας μέσω του προφίλ τους στο LinkedIn, ανακατευθύνονται εν αγνοία τους σε έναν κακόβουλο ιστότοπο. Εκεί, τους ζητείται να εγκαταστήσουν αυτό που φαίνεται να είναι μια νόμιμη ενημέρωση προγράμματος περιήγησης, που παρουσιάζεται ως ένα σύνολο τεσσάρων διαφορετικών εικονιδίων προγράμματος περιήγησης. Ωστόσο, αντί για μια γνήσια ενημέρωση, ο ανυποψίαστος χρήστης κατεβάζει κατά λάθος ένα εκτελέσιμο αρχείο γνωστό ως RedStealer.

Είναι ενδιαφέρον ότι, ανεξάρτητα από το εικονίδιο του προγράμματος περιήγησης που επιλέγει ο χρήστης, ανακατευθύνονται στην ίδια διεύθυνση URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Αυτή η διεύθυνση URL ξεκινά τη λήψη ενός αρχείου με το όνομα setupbrowser.exe, το οποίο αποτελεί μέρος του κακόβουλου ωφέλιμου φορτίου.

Αυτό που κάνει αυτή την εκστρατεία απειλής ακόμη πιο παραπλανητική είναι η χρήση ενός παραπλανητικού τομέα λήψης που ονομάζεται www[.]igrejaatos2[.]org. Αυτός ο τομέας μεταμφιέζεται ως ιστότοπος ChatGpt, παρασύροντας τα θύματα να κατεβάσουν μια ψεύτικη εκτός σύνδεσης έκδοση του ChatGpt. Ωστόσο, κατά τη λήψη του υποτιθέμενου αρχείου zip ChatGpt, το θύμα αποκτά εν αγνοία του το ίδιο κακόβουλο εκτελέσιμο αρχείο που αναφέρθηκε προηγουμένως.

Είναι σημαντικό για τα άτομα και τους οργανισμούς να είναι ιδιαίτερα προσεκτικοί κατά την πρόσβαση σε ιστότοπους, ιδιαίτερα σε αυτούς που συνδέονται από προφίλ LinkedIn. Η επιμέλεια για την επαλήθευση της αυθεντικότητας των ενημερώσεων του προγράμματος περιήγησης και η επιφυλακτικότητα για απροσδόκητες λήψεις αρχείων είναι πρωταρχικής σημασίας για την προστασία από τέτοιες κακόβουλες καμπάνιες.