A RedEnergy Stealer egyben keveri a Ransomware-t és az Infostealer-t

A Zscaler ThreatLabz nemrégiben érdekes felfedezést tett, feltárva a rosszindulatú program egy új változatát, a RedEnergy stealer-t. Ez a rosszindulatú program a „Stealer-as-Ransomware” kategóriájába tartozik, bár nem szabad összetéveszteni az ausztrál Red Energy céggel.

A RedEnergy stealer okos megközelítést alkalmaz egy hamis frissítési kampány segítségével, amely különböző iparágakat céloz meg. Lehetővé teszi a különböző webböngészőkből származó érzékeny adatok ellopását, lehetővé téve az értékes információk kinyerését. Ezenkívül különféle modulokat tartalmaz a ransomware tevékenységek végrehajtásához. Az elemzés során megfigyelt gyakori metódusnevek ellenére a kártevő megtartotta nevét.

Ebben a blogban a közelmúltban azonosított rosszindulatú programhoz kapcsolódó különféle kampányokat kutatjuk. Átfogó technikai elemzést is nyújtunk a lopók és a zsarolóprogramok jellemzőiről.

Az év elején a ThreatLabz új fenyegetési kategóriát vezetett be, a RAT-as-a-Ransomware néven. A kutatók azonban most egy másik hibrid kategóriát azonosítottak, a Stealer-as-a-Ransomware nevet, amely hasonló megközelítést követ. A RedEnergy stealer, a legújabb felfedezés, a titkos adatlopást ötvözi a titkosítással, hogy maximális kárt okozzon, és átvegye az irányítást az áldozatok felett. Több iparágat céloz meg, beleértve az energiaszolgáltatókat, az olaj- és gázipart, a távközlést és a gépgyártást. A rosszindulatú szoftverek ezen fejlesztései figyelemre méltó elmozdulást és jelentős előrelépést jelentenek a hagyományos ransomware támadásokon túl.

Az esettanulmányban elemzett Stealer-as-a-Ransomware mintaváltozata egy FAKEUPDATES néven ismert megtévesztő kampányt alkalmaz a célpontok csábítására. Ez ráveszi őket, hogy azonnal frissítsék webböngészőjüket. A rendszerbe kerülve ez a rosszindulatú változat titokban kinyeri az érzékeny információkat, és titkosítja a feltört fájlokat. Ez az áldozatokat kiszolgáltatottá teszi az esetleges adatvesztésnek, leleplezésnek vagy akár értékes adataik illegális értékesítésének.

RedEnergy röviden

A ThreatLabz legújabb kutatása egy rendkívül kifinomult kártevő-kampányt tár fel, amely iparágak jó hírű LinkedIn oldalait használja ki az áldozatok megcélzására. Ilyen például a Philippines Industrial Machinery Manufacturing Company és különböző brazíliai szervezetek. A támadók akkor kezdeményezik a támadást, amikor a felhasználók egy linkre kattintanak, hogy felkeressenek egy feltört vállalat webhelyét a LinkedInről. Többlépcsős technikákat alkalmaznak, és a rosszindulatú programokat böngészőfrissítéseknek álcázzák, hogy megtévesszék a felhasználókat.

Stealer-as-a-Ransomware: Az elemzett rosszindulatú program kettős képességgel rendelkezik, mint lopó és ransomware, ami a ransomware támadások jelentős fejlődését jelzi. Elhomályosítási technikákat használ, és HTTPS-t használ a parancs- és vezérlési kommunikációhoz, ami kihívást jelent az észlelés és elemzés számára.

Többlépcsős végrehajtás: A kártevő több szakaszon keresztül működik, kezdve az álcázott rosszindulatú végrehajtható fájlok végrehajtásával. Megállapítja a tartósságot, kommunikál a DNS-kiszolgálókkal, és további hasznos adatokat tölt le távoli helyekről. A gyanús FTP-interakciók potenciális adatszivárgásra és jogosulatlan fájlfeltöltésekre utalnak.

Ransomware funkcionalitás: A rosszindulatú program olyan ransomware modulokat tartalmaz, amelyek a felhasználói adatokat a ".FACKOFF!" kiterjesztése, elérhetetlenné téve a váltságdíj kifizetéséig. Ezenkívül módosítja a desktop.ini fájlt, hogy elkerülje az észlelést, és módosítsa a fájlrendszer mappa megjelenítési beállításait.

Árnyékmeghajtó adatainak törlése: Utolsó szakaszában a rosszindulatú program törli az árnyékmeghajtó adatait és a Windows biztonsági mentési terveit, megerősítve ezzel a zsarolóprogramok jellemzőit. Eldob egy kötegfájlt és egy váltságdíjat, és fizetést követel a fájl dekódolásáért cserébe.

A RedEnergy Malware működési módja

Ennek a fenyegető kampánynak a működési módja megtévesztő átirányítási technikát tartalmaz. Amikor a felhasználók a LinkedIn-profiljukon keresztül próbálják meglátogatni a megcélzott cég webhelyét, tudtukon kívül átirányítják őket egy rosszindulatú webhelyre. Ott a rendszer felkéri őket, hogy telepítsenek egy legitim böngészőfrissítést, amely négy különböző böngészőikonból áll. Az eredeti frissítés helyett azonban a gyanútlan felhasználó véletlenül letölt egy RedStealer néven ismert futtatható fájlt.

Érdekes módon a felhasználó attól függetlenül, hogy melyik böngészőikont választja, ugyanarra az URL-re irányítja át őket: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Ez az URL elindítja egy setupbrowser.exe nevű fájl letöltését, amely a rosszindulatú rakomány része.

Ami ezt a fenyegetési kampányt még megtévesztőbbé teszi, az a www[.]igrejaatos2[.]org nevű, félrevezető letöltési tartomány használata. Ez a domain ChatGpt-webhelynek álcázza magát, és arra csábítja az áldozatokat, hogy töltsék le a ChatGpt hamisított offline verzióját. Az állítólagos ChatGpt zip-fájl letöltésekor azonban az áldozat tudtán kívül ugyanazt a rosszindulatú futtatható fájlt szerzi meg, amelyet korábban említettünk.

Kulcsfontosságú, hogy az egyének és a szervezetek rendkívül óvatosak legyenek, amikor hozzáférnek a webhelyekhez, különösen a LinkedIn-profilokról hivatkozott webhelyekre. A böngészőfrissítések hitelességének ellenőrzése és a váratlan fájlletöltések óvatossága rendkívül fontos az ilyen rosszindulatú kampányok elleni védelem érdekében.