RedEnergy Stealer combina ransomware e infostealer en uno

Zscaler ThreatLabz recientemente hizo un descubrimiento intrigante al descubrir una nueva variación de malware llamada RedEnergy Stealer. Este malware en particular entra en la categoría de Stealer-as-a-Ransomware, aunque no debe confundirse con la empresa australiana Red Energy.

El ladrón de RedEnergy adopta un enfoque inteligente al utilizar una campaña de actualización falsa, dirigida a varias industrias. Posee la capacidad de robar datos confidenciales de diferentes navegadores web, lo que permite la extracción de información valiosa. Además, incorpora varios módulos para llevar a cabo actividades de ransomware. A pesar de los nombres de métodos comunes observados durante el análisis, el malware conservó su nombre.

En este blog, profundizamos en las diversas campañas asociadas con este malware recientemente identificado. También proporcionamos un análisis técnico completo de sus características de ladrón y ransomware.

A principios de este año, ThreatLabz introdujo una nueva categoría de amenazas llamada RAT-as-a-Ransomware. Sin embargo, los investigadores ahora han identificado otra categoría híbrida llamada Stealer-as-a-Ransomware, que sigue un enfoque similar. El ladrón de RedEnergy, el último descubrimiento, combina el robo sigiloso de datos con el cifrado para infligir el máximo daño y controlar a las víctimas. Se dirige a varias industrias, incluidas las de servicios públicos de energía, petróleo y gas, telecomunicaciones y maquinaria. Estos avances en malware significan un cambio notable y un progreso significativo más allá de los ataques de ransomware tradicionales.

La variante de muestra de Stealer-as-a-Ransomware analizada en este estudio de caso emplea una campaña engañosa conocida como FAKEUPDATES para atraer a sus objetivos. Los engaña para que actualicen rápidamente sus navegadores web. Una vez dentro del sistema, esta variante maliciosa extrae en secreto información confidencial y procede a cifrar los archivos comprometidos. Esto deja a las víctimas vulnerables a la posible pérdida de datos, exposición o incluso la venta ilícita de sus valiosos datos.

RedEnergy en breve

La investigación más reciente de ThreatLabz descubre una campaña de malware altamente sofisticada que explota las páginas de industrias de LinkedIn de buena reputación para atacar a las víctimas. Los ejemplos incluyen la Compañía de Fabricación de Maquinaria Industrial de Filipinas y varias organizaciones en Brasil. Los atacantes inician el ataque cuando los usuarios hacen clic en un enlace para visitar el sitio web de una empresa comprometida desde LinkedIn. Emplean técnicas de varias etapas y disfrazan el malware como actualizaciones del navegador para engañar a los usuarios.

Stealer-as-a-Ransomware: el malware analizado posee capacidades duales como ladrón y ransomware, lo que representa una evolución preocupante en los ataques de ransomware. Utiliza técnicas de ofuscación y emplea HTTPS para la comunicación de comando y control, lo que dificulta la detección y el análisis.

Ejecución en varias etapas: el malware opera a través de varias etapas, comenzando con la ejecución de ejecutables maliciosos disfrazados. Establece persistencia, se comunica con servidores DNS y descarga cargas útiles adicionales desde ubicaciones remotas. Las interacciones sospechosas de FTP sugieren una posible filtración de datos y cargas de archivos no autorizadas.

Funcionalidad de ransomware: el malware incorpora módulos de ransomware que cifran los datos del usuario con el ".FACKOFF!" extensión, haciéndolo inaccesible hasta que se pague un rescate. También modifica el archivo desktop.ini para evadir la detección y alterar la configuración de visualización de la carpeta del sistema de archivos.

Eliminación de datos de Shadow Drive: en su etapa final, el malware borra los datos de shadow drive y los planes de copia de seguridad de Windows, lo que refuerza sus características de ransomware. Suelta un archivo por lotes y una nota de rescate, exigiendo el pago a cambio del descifrado del archivo.

Modo de Operación del Malware RedEnergy

El método operativo de esta campaña de amenazas implica una técnica de redirección engañosa. Cuando los usuarios intentan visitar el sitio web de la empresa objetivo a través de su perfil de LinkedIn, sin saberlo, son redirigidos a un sitio web malicioso. Allí, se les solicita que instalen lo que parece ser una actualización legítima del navegador, presentada como un conjunto de cuatro iconos de navegador diferentes. Sin embargo, en lugar de una actualización genuina, el usuario desprevenido descarga sin darse cuenta un archivo ejecutable conocido como RedStealer.

Curiosamente, independientemente del icono del navegador que seleccione el usuario, se le redirige a la misma URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Esta URL inicia la descarga de un archivo denominado setupbrowser.exe, que forma parte de la carga maliciosa.

Lo que hace que esta campaña de amenazas sea aún más engañosa es el uso de un dominio de descarga engañoso llamado www[.]igrejaatos2[.]org. Este dominio se hace pasar por un sitio de ChatGpt, lo que atrae a las víctimas a descargar una versión falsa fuera de línea de ChatGpt. Sin embargo, al descargar el supuesto archivo zip de ChatGpt, la víctima, sin saberlo, adquiere el mismo ejecutable malicioso mencionado anteriormente.

Es fundamental que las personas y las organizaciones tengan mucho cuidado al acceder a sitios web, en particular a aquellos vinculados desde perfiles de LinkedIn. La diligencia para verificar la autenticidad de las actualizaciones del navegador y tener cuidado con las descargas de archivos inesperadas es fundamental para protegerse contra este tipo de campañas maliciosas.