RedEnergy Stealer unisce ransomware e infostealer in uno

Zscaler ThreatLabz ha recentemente fatto una scoperta intrigante, scoprendo una nuova variante di malware chiamata RedEnergy stealer. Questo particolare malware rientra nella categoria Stealer-as-a-Ransomware, anche se non deve essere confuso con l'azienda australiana Red Energy.

Il ladro RedEnergy adotta un approccio intelligente utilizzando una falsa campagna di aggiornamento, mirata a vari settori. Possiede la capacità di rubare dati sensibili da diversi browser Web, consentendo l'estrazione di informazioni preziose. Inoltre, incorpora vari moduli per svolgere attività ransomware. Nonostante i nomi dei metodi comuni osservati durante l'analisi, il malware ha mantenuto il proprio nome.

In questo blog, approfondiamo le diverse campagne associate a questo malware identificato di recente. Forniamo anche un'analisi tecnica completa delle sue caratteristiche di stealer e ransomware.

All'inizio di quest'anno, ThreatLabz ha introdotto una nuova categoria di minacce chiamata RAT-as-a-Ransomware. Tuttavia, i ricercatori hanno ora identificato un'altra categoria ibrida chiamata Stealer-as-a-Ransomware, che segue un approccio simile. RedEnergy stealer, l'ultima scoperta, combina il furto furtivo di dati con la crittografia per infliggere il massimo danno e ottenere il controllo sulle vittime. Si rivolge a diversi settori, tra cui servizi energetici, petrolio e gas, telecomunicazioni e macchinari. Questi progressi nel malware indicano un cambiamento degno di nota e progressi significativi rispetto ai tradizionali attacchi ransomware.

La variante campione di Stealer-as-a-Ransomware analizzata in questo case study impiega una campagna ingannevole nota come FAKEUPDATES per attirare i suoi obiettivi. Li induce ad aggiornare prontamente i loro browser web. Una volta all'interno del sistema, questa variante dannosa estrae segretamente informazioni sensibili e procede a crittografare i file compromessi. Ciò rende le vittime vulnerabili alla potenziale perdita di dati, all'esposizione o persino alla vendita illecita dei loro preziosi dati.

RedEnergy in breve

L'ultima ricerca di ThreatLabz rivela una campagna di malware altamente sofisticata che sfrutta le affidabili pagine LinkedIn delle industrie per prendere di mira le vittime. Gli esempi includono la Filippine Industrial Machinery Manufacturing Company e varie organizzazioni in Brasile. Gli aggressori avviano l'attacco quando gli utenti fanno clic su un collegamento per visitare il sito Web di un'azienda compromessa da LinkedIn. Impiegano tecniche a più fasi e mascherano il malware come aggiornamenti del browser per ingannare gli utenti.

Stealer-as-a-Ransomware: il malware analizzato possiede una doppia capacità sia come stealer che come ransomware, rappresentando un'evoluzione preoccupante negli attacchi ransomware. Utilizza tecniche di offuscamento e utilizza HTTPS per la comunicazione di comando e controllo, rendendo il rilevamento e l'analisi impegnativi.

Esecuzione in più fasi: il malware opera in più fasi, a partire dall'esecuzione di eseguibili dannosi camuffati. Stabilisce la persistenza, comunica con i server DNS e scarica payload aggiuntivi da postazioni remote. Interazioni FTP sospette suggeriscono una potenziale esfiltrazione di dati e caricamenti di file non autorizzati.

Funzionalità ransomware: il malware incorpora moduli ransomware che crittografano i dati degli utenti con ".FACKOFF!" estensione, rendendolo inaccessibile fino al pagamento di un riscatto. Modifica inoltre il file desktop.ini per eludere il rilevamento e alterare le impostazioni di visualizzazione della cartella del file system.

Eliminazione dei dati di Shadow Drive: nella sua fase finale, il malware cancella i dati di Shadow Drive e i piani di backup di Windows, rafforzando le sue caratteristiche di ransomware. Rilascia un file batch e una richiesta di riscatto, chiedendo il pagamento in cambio della decrittazione del file.

Modalità di funzionamento del malware RedEnergy

Il metodo operativo per questa campagna di minaccia prevede una tecnica di reindirizzamento ingannevole. Quando gli utenti tentano di visitare il sito Web dell'azienda presa di mira tramite il proprio profilo LinkedIn, vengono inconsapevolmente reindirizzati a un sito Web dannoso. Lì, viene richiesto di installare quello che sembra essere un legittimo aggiornamento del browser, presentato come un insieme di quattro diverse icone del browser. Tuttavia, invece di un vero e proprio aggiornamento, l'utente ignaro scarica inavvertitamente un file eseguibile noto come RedStealer.

È interessante notare che, indipendentemente dall'icona del browser selezionata dall'utente, vengono reindirizzati allo stesso URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Questo URL avvia il download di un file denominato setupbrowser.exe, che fa parte del payload dannoso.

Ciò che rende questa campagna di minaccia ancora più ingannevole è l'uso di un dominio di download fuorviante chiamato www[.]igrejaatos2[.]org. Questo dominio si maschera da sito ChatGpt, invitando le vittime a scaricare una versione offline contraffatta di ChatGpt. Tuttavia, dopo aver scaricato il presunto file zip ChatGpt, la vittima acquisisce inconsapevolmente lo stesso eseguibile dannoso menzionato in precedenza.

È fondamentale che gli individui e le organizzazioni esercitino la massima cautela quando accedono ai siti Web, in particolare quelli collegati dai profili LinkedIn. La diligenza nel verificare l'autenticità degli aggiornamenti del browser e diffidare di download di file imprevisti è fondamentale per proteggersi da tali campagne dannose.