RedEnergy Stealer sumaišo Ransomware ir Infostealer viename

„Zscaler ThreatLabz“ neseniai padarė intriguojantį atradimą ir atskleidė naują kenkėjiškos programos variantą, pavadintą „RedEnergy stealer“. Ši kenkėjiška programa patenka į „Stealer-as-a-Ransomware“ kategoriją, nors jos nereikėtų painioti su Australijos įmone „Red Energy“.

RedEnergy stealer taiko protingą požiūrį, naudodamas netikrą atnaujinimo kampaniją, skirtą įvairioms pramonės šakoms. Jis turi galimybę pavogti neskelbtinus duomenis iš skirtingų interneto naršyklių, kad būtų galima išgauti vertingą informaciją. Be to, jame yra įvairių modulių, skirtų išpirkos reikalaujančių programų veiklai vykdyti. Nepaisant įprastų metodų pavadinimų, pastebėtų atliekant analizę, kenkėjiška programa išlaikė savo pavadinimą.

Šiame tinklaraštyje mes gilinamės į įvairias kampanijas, susijusias su šia neseniai nustatyta kenkėjiška programa. Taip pat pateikiame išsamią techninę jos vagių ir išpirkos programų charakteristikų analizę.

Anksčiau šiais metais ThreatLabz pristatė naują grėsmės kategoriją, pavadintą RAT-as-a-Ransomware. Tačiau dabar mokslininkai nustatė kitą hibridinę kategoriją, vadinamą „Stealer-as-a-Ransomware“, kuriai taikomas panašus požiūris. Naujausias atradimas „RedEnergy stealer“ sujungia slaptą duomenų vagystę su šifravimu, kad padarytų maksimalią žalą ir įgytų aukų kontrolę. Jis skirtas kelioms pramonės šakoms, įskaitant energetikos paslaugas, naftą ir dujas, telekomunikacijas ir mašinas. Ši kenkėjiškų programų pažanga reiškia reikšmingą pokytį ir didelę pažangą už tradicinių išpirkos reikalaujančių programų atakų.

Šiame atvejo tyrime analizuojamame pavyzdiniame „Stealer-as-a-Ransomware“ variante naudojama apgaulinga kampanija, žinoma kaip FAKEUPDATES, siekiant privilioti savo taikinius. Tai priverčia juos greitai atnaujinti žiniatinklio naršykles. Patekęs į sistemą, šis kenkėjiškas variantas slapta ištraukia neskelbtiną informaciją ir šifruoja pažeistus failus. Dėl to aukos tampa pažeidžiamos dėl galimo duomenų praradimo, atskleidimo ar net neteisėto vertingų duomenų pardavimo.

„RedEnergy“ trumpai

Naujausias „ThreatLabz“ tyrimas atskleidžia labai sudėtingą kenkėjiškų programų kampaniją, kuri išnaudoja patikimus pramonės šakų „LinkedIn“ puslapius, kad būtų nukreipta į aukas. Pavyzdžiui, Filipinų pramonės mašinų gamybos įmonė ir įvairios organizacijos Brazilijoje. Užpuolikai inicijuoja ataką, kai vartotojai spusteli nuorodą, kad apsilankytų pažeistos įmonės svetainėje iš „LinkedIn“. Jie naudoja kelių pakopų metodus ir užmaskuoja kenkėjiškas programas kaip naršyklės naujinius, kad apgautų vartotojus.

„Stealer-as-a-Ransomware“: išanalizuota kenkėjiška programa turi dvigubas galimybes – ir vagis, ir išpirkos reikalaujanti programinė įranga, o tai rodo susirūpinimą keliančią ransomware atakų raidą. Jame naudojami užmaskavimo metodai ir naudojamas HTTPS komandų ir valdymo ryšiui, todėl aptikimas ir analizė tampa sudėtinga.

Kelių etapų vykdymas: kenkėjiška programa veikia keliais etapais, pradedant nuo užmaskuotų kenkėjiškų vykdomųjų failų vykdymo. Jis užtikrina patvarumą, bendrauja su DNS serveriais ir atsisiunčia papildomus naudingus krovinius iš atokių vietų. Įtartinos FTP sąveikos rodo galimą duomenų išfiltravimą ir neteisėtą failų įkėlimą.

Išpirkos reikalaujančios programos funkcionalumas: kenkėjiška programinė įranga apima išpirkos reikalaujančius modulius, kurie užšifruoja vartotojo duomenis su ".FACKOFF!" pratęsimą, todėl jis nepasiekiamas, kol nebus sumokėta išpirka. Ji taip pat modifikuoja failą desktop.ini, kad išvengtų aptikimo ir pakeistų failų sistemos aplanko rodymo nustatymus.

„Shadow Drive“ duomenų ištrynimas: paskutiniame etape kenkėjiška programa ištrina šešėlinio disko duomenis ir „Windows“ atsarginių kopijų planus, sustiprindama išpirkos reikalaujančių programų savybes. Jis numeta paketinį failą ir išpirkos raštelį, reikalaudamas sumokėti mainais už failo iššifravimą.

„RedEnergy“ kenkėjiškos programos veikimo režimas

Šios grėsmės kampanijos veikimo metodas apima apgaulingą peradresavimo techniką. Kai vartotojai bando apsilankyti tikslinės įmonės svetainėje per savo „LinkedIn“ profilį, jie nesąmoningai nukreipiami į kenkėjišką svetainę. Ten jie raginami įdiegti, atrodo, teisėtą naršyklės naujinį, pateikiamą kaip keturių skirtingų naršyklės piktogramų rinkinys. Tačiau vietoj tikro atnaujinimo nieko neįtariantis vartotojas netyčia atsisiunčia vykdomąjį failą, žinomą kaip RedStealer.

Įdomu tai, kad nepaisant to, kurią naršyklės piktogramą vartotojas pasirenka, jis nukreipiamas į tą patį URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Šis URL inicijuoja failo, pavadinto setupbrowser.exe, kuris yra kenksmingos apkrovos dalis, atsisiuntimą.

Šią grėsmės kampaniją dar labiau apgaulinga daro klaidinančio atsisiuntimo domeno, vadinamo www[.]igrejaatos2[.]org, naudojimas. Šis domenas yra „ChatGpt“ svetainė, viliojanti aukas atsisiųsti suklastotą neprisijungusią „ChatGpt“ versiją. Tačiau atsisiųsdamas tariamą „ChatGpt“ ZIP failą, auka nesąmoningai įgyja tą patį anksčiau minėtą kenkėjišką vykdomąjį failą.

Asmenims ir organizacijoms labai svarbu būti ypač atsargiems prisijungdami prie svetainių, ypač tų, kurių nuorodos yra iš LinkedIn profilių. Norint apsisaugoti nuo tokių kenkėjiškų kampanijų, itin svarbu kruopščiai patikrinti naršyklės naujinimų autentiškumą ir saugotis netikėtų failų atsisiuntimų.