RedEnergy Stealer はランサムウェアと Infostealer を 1 つに混合

Zscaler ThreatLabz は最近、RedEnergy スティーラーと呼ばれるマルウェアの新しいバリエーションを発見するという興味深い発見をしました。この特定のマルウェアは、ランサムウェアとしての窃盗のカテゴリに分類されますが、オーストラリアの会社 Red Energy と混同されるべきではありません。

RedEnergy スティーラーは、偽のアップデート キャンペーンを利用するという巧妙なアプローチを採用し、さまざまな業界をターゲットにしています。さまざまな Web ブラウザから機密データを盗む機能があり、貴重な情報の抽出を可能にします。さらに、ランサムウェア活動を実行するためのさまざまなモジュールが組み込まれています。分析中に観察された一般的なメソッド名にもかかわらず、マルウェアはその名前を保持していました。

このブログでは、最近確認されたこのマルウェアに関連するさまざまなキャンペーンを詳しく掘り下げます。また、スティーラーとランサムウェアの特性に関する包括的な技術分析も提供します。

今年の初め、ThreatLabz は、RAT-as-a-Ransomware と呼ばれる新しい脅威カテゴリを導入しました。しかし、研究者らは現在、同様のアプローチに従う、ランサムウェアとしての窃盗犯と呼ばれる別のハイブリッド カテゴリを特定しました。最新の発見である RedEnergy スティーラーは、ステルスなデータ盗難と暗号化を組み合わせて、最大限の損害を与え、被害者を制御します。エネルギー公益事業、石油・ガス、通信、機械など複数の業界を対象としています。マルウェアのこうした進歩は、従来のランサムウェア攻撃を超えた注目すべき変化と大きな進歩を意味しています。

このケーススタディで分析された Stealer-as-a-Ransomware のサンプル亜種は、ターゲットをおびき寄せるために FAKEUPDATES として知られる欺瞞的なキャンペーンを採用しています。これは、ユーザーを騙して Web ブラウザをすぐに更新するように仕向けます。この悪意のある亜種はシステムに侵入すると、秘密裏に機密情報を抽出し、侵害されたファイルの暗号化を開始します。これにより、被害者は潜在的なデータ損失、漏洩、さらには貴重なデータの違法販売に対して脆弱なままになります。

レッドエナジーの概要

ThreatLabz の最新の調査により、評判の高い各業界の LinkedIn ページを悪用して被害者を狙う非常に洗練されたマルウェア キャンペーンが明らかになりました。例としては、フィリピン産業機械製造会社やブラジルのさまざまな組織が挙げられます。ユーザーがリンクをクリックして LinkedIn から侵害された企業の Web サイトにアクセスすると、攻撃者は攻撃を開始します。彼らは多段階の手法を採用し、マルウェアをブラウザのアップデートとして偽装してユーザーを欺きます。

ランサムウェアとしての窃盗: 分析されたマルウェアは、窃盗とランサムウェアの両方の機能を備えており、ランサムウェア攻撃の懸念すべき進化を表しています。難読化技術を利用し、コマンドと制御の通信に HTTPS を採用しているため、検出と分析が困難になります。

複数段階の実行: マルウェアは、偽装された悪意のある実行可能ファイルの実行から始まり、複数の段階を経て動作します。永続性を確立し、DNS サーバーと通信し、リモートの場所から追加のペイロードをダウンロードします。不審な FTP インタラクションは、データの漏洩や不正なファイルのアップロードの可能性を示唆しています。

ランサムウェアの機能: このマルウェアには、ユーザー データを「.FACKOFF!」で暗号化するランサムウェア モジュールが組み込まれています。拡張機能を追加すると、身代金が支払われるまでアクセスできなくなります。また、desktop.ini ファイルを変更して検出を回避し、ファイル システムのフォルダー表示設定を変更します。

シャドウ ドライブ データの削除: 最終段階では、マルウェアはシャドウ ドライブ データと Windows バックアップ プランを消去し、ランサムウェアの特徴を強化します。バッチファイルと身代金メモを投下し、ファイルの復号化と引き換えに支払いを要求します。

RedEnergy マルウェアの動作モード

この脅威キャンペーンの操作方法には、欺瞞的なリダイレクト技術が含まれています。ユーザーが LinkedIn プロフィールを通じて標的の企業の Web サイトにアクセスしようとすると、知らず知らずのうちに悪意のある Web サイトにリダイレクトされます。そこでは、4 つの異なるブラウザ アイコンのセットとして表示される、正規のブラウザ アップデートのように見えるものをインストールするように求められます。ただし、何も知らないユーザーは、本物のアップデートではなく、RedStealer として知られる実行可能ファイルを誤ってダウンロードしてしまいます。

興味深いことに、ユーザーが選択したブラウザ アイコンに関係なく、同じ URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe にリダイレクトされます。この URL は、悪意のあるペイロードの一部である setupbrowser.exe という名前のファイルのダウンロードを開始します。

この脅威キャンペーンをさらに欺瞞的にしているのは、www[.]igrejaatos2[.]org と呼ばれる誤解を招くダウンロード ドメインの使用です。このドメインは ChatGpt サイトを装い、被害者に ChatGpt の偽造オフライン バージョンをダウンロードさせるよう誘います。ただし、ChatGpt zip ファイルと称されるファイルをダウンロードすると、被害者は無意識のうちに、前述と同じ悪意のある実行可能ファイルを取得します。

個人や組織にとって、Web サイト、特に LinkedIn プロフィールからリンクされている Web サイトにアクセスする場合は、細心の注意を払うことが重要です。このような悪意のあるキャンペーンから身を守るには、ブラウザの更新の信頼性を注意深く確認し、予期しないファイルのダウンロードに注意することが最も重要です。