RedEnergy Stealer mélange ransomware et infostealer en un

Zscaler ThreatLabz a récemment fait une découverte intrigante, découvrant une nouvelle variante de malware appelée RedEnergy stealer. Ce malware particulier relève de la catégorie Stealer-as-a-Ransomware, bien qu'il ne faille pas le confondre avec la société australienne Red Energy.

Le voleur RedEnergy adopte une approche intelligente en utilisant une fausse campagne de mise à jour, ciblant diverses industries. Il possède la capacité de voler des données sensibles à partir de différents navigateurs Web, permettant l'extraction d'informations précieuses. De plus, il intègre divers modules pour mener à bien des activités de ransomware. Malgré les noms de méthodes courants observés lors de l'analyse, le logiciel malveillant a conservé son nom.

Dans ce blog, nous nous penchons sur les diverses campagnes associées à ce malware récemment identifié. Nous fournissons également une analyse technique complète de ses caractéristiques de voleur et de ransomware.

Plus tôt cette année, ThreatLabz a introduit une nouvelle catégorie de menaces appelée RAT-as-a-Ransomware. Cependant, les chercheurs ont maintenant identifié une autre catégorie hybride appelée Stealer-as-a-Ransomware, qui suit une approche similaire. Le voleur RedEnergy, la dernière découverte, combine le vol de données furtif avec le cryptage pour infliger un maximum de dégâts et prendre le contrôle des victimes. Il cible plusieurs industries, notamment les services publics d'énergie, le pétrole et le gaz, les télécommunications et les machines. Ces avancées en matière de logiciels malveillants signifient un changement notable et des progrès significatifs au-delà des attaques de ransomware traditionnelles.

L'exemple de variante de Stealer-as-a-Ransomware analysé dans cette étude de cas utilise une campagne trompeuse connue sous le nom de FAKEUPDATES pour attirer ses cibles. Cela les incite à mettre à jour rapidement leurs navigateurs Web. Une fois à l'intérieur du système, cette variante malveillante extrait secrètement des informations sensibles et procède au chiffrement des fichiers compromis. Cela rend les victimes vulnérables à la perte potentielle de données, à l'exposition ou même à la vente illicite de leurs précieuses données.

RedEnergy en bref

Les dernières recherches de ThreatLabz révèlent une campagne de logiciels malveillants hautement sophistiqués qui exploite les pages LinkedIn réputées des industries pour cibler les victimes. Les exemples incluent la Philippines Industrial Machinery Manufacturing Company et diverses organisations au Brésil. Les attaquants lancent l'attaque lorsque les utilisateurs cliquent sur un lien pour visiter le site Web d'une entreprise compromise à partir de LinkedIn. Ils utilisent des techniques en plusieurs étapes et déguisent les logiciels malveillants en mises à jour du navigateur pour tromper les utilisateurs.

Stealer-as-a-Ransomware : le malware analysé possède à la fois des capacités de voleur et de ransomware, ce qui représente une évolution préoccupante des attaques de ransomware. Il utilise des techniques d'obscurcissement et emploie HTTPS pour la communication de commande et de contrôle, ce qui rend la détection et l'analyse difficiles.

Exécution en plusieurs étapes : le malware opère en plusieurs étapes, en commençant par l'exécution d'exécutables malveillants déguisés. Il établit la persistance, communique avec les serveurs DNS et télécharge des charges utiles supplémentaires à partir d'emplacements distants. Des interactions FTP suspectes suggèrent une exfiltration potentielle de données et des téléchargements de fichiers non autorisés.

Fonctionnalité de ransomware : le malware intègre des modules de ransomware qui cryptent les données des utilisateurs avec le ".FACKOFF!" extension, le rendant inaccessible jusqu'à ce qu'une rançon soit payée. Il modifie également le fichier desktop.ini pour échapper à la détection et modifier les paramètres d'affichage du dossier du système de fichiers.

Suppression des données du disque fantôme : dans sa phase finale, le logiciel malveillant efface les données du disque fantôme et les plans de sauvegarde Windows, renforçant ainsi ses caractéristiques de ransomware. Il dépose un fichier batch et une demande de rançon, exigeant un paiement en échange du décryptage du fichier.

Mode de fonctionnement du logiciel malveillant RedEnergy

Le mode opératoire de cette campagne de menace passe par une technique de redirection trompeuse. Lorsque les utilisateurs tentent de visiter le site Web de l'entreprise ciblée via leur profil LinkedIn, ils sont sans le savoir redirigés vers un site Web malveillant. Là, ils sont invités à installer ce qui semble être une mise à jour légitime du navigateur, présentée sous la forme d'un ensemble de quatre icônes de navigateur différentes. Cependant, au lieu d'une véritable mise à jour, l'utilisateur sans méfiance télécharge par inadvertance un fichier exécutable appelé RedStealer.

Fait intéressant, quelle que soit l'icône de navigateur sélectionnée par l'utilisateur, il est redirigé vers la même URL : www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Cette URL lance le téléchargement d'un fichier nommé setupbrowser.exe, qui fait partie de la charge utile malveillante.

Ce qui rend cette campagne de menaces encore plus trompeuse est l'utilisation d'un domaine de téléchargement trompeur appelé www[.]igrejaatos2[.]org. Ce domaine se fait passer pour un site ChatGpt, incitant les victimes à télécharger une version hors ligne contrefaite de ChatGpt. Cependant, lors du téléchargement du prétendu fichier zip ChatGpt, la victime acquiert sans le savoir le même exécutable malveillant mentionné précédemment.

Il est essentiel que les individus et les organisations fassent preuve d'une extrême prudence lorsqu'ils accèdent à des sites Web, en particulier ceux liés à des profils LinkedIn. Il est primordial de vérifier avec diligence l'authenticité des mises à jour du navigateur et de se méfier des téléchargements de fichiers inattendus pour se protéger contre de telles campagnes malveillantes.