RedEnergy Stealer blander Ransomware og Infostealer i ett

Zscaler ThreatLabz gjorde nylig en spennende oppdagelse, og avdekket en ny variant av skadelig programvare kalt RedEnergy stealer. Denne spesielle malware faller inn under kategorien Stealer-as-a-Ransomware, selv om den ikke bør forveksles med det australske selskapet Red Energy.

RedEnergy stealer bruker en smart tilnærming ved å bruke en falsk oppdateringskampanje, rettet mot ulike bransjer. Den har muligheten til å stjele sensitive data fra forskjellige nettlesere, noe som muliggjør utvinning av verdifull informasjon. I tillegg inneholder den ulike moduler for å utføre løsepengevareaktiviteter. Til tross for de vanlige metodenavnene som ble observert under analyse, beholdt skadevaren navnet sitt.

I denne bloggen fordyper vi oss i de forskjellige kampanjene knyttet til denne nylig identifiserte skadelige programvaren. Vi gir også en omfattende teknisk analyse av tyveri- og løsepengevareegenskapene.

Tidligere i år introduserte ThreatLabz en ny trusselkategori kalt RAT-as-a-Ransomware. Imidlertid har forskere nå identifisert en annen hybridkategori kalt Stealer-as-a-Ransomware, som følger en lignende tilnærming. RedEnergy stealer, den siste oppdagelsen, kombinerer snikende datatyveri med kryptering for å påføre maksimal skade og få kontroll over ofrene. Den retter seg mot flere bransjer, inkludert energiverktøy, olje og gass, telekommunikasjon og maskiner. Disse fremskrittene innen skadelig programvare betyr et bemerkelsesverdig skifte og betydelig fremgang utover tradisjonelle løsepengevareangrep.

Prøvevarianten av Stealer-as-a-Ransomware analysert i denne casestudien bruker en villedende kampanje kjent som FAKEUPDATES for å lokke målene sine. Det lurer dem til å raskt oppdatere nettleserne sine. En gang inne i systemet trekker denne ondsinnede varianten ut sensitiv informasjon i hemmelighet og fortsetter med å kryptere kompromitterte filer. Dette gjør ofre sårbare for potensielt tap av data, eksponering eller til og med ulovlig salg av verdifulle data.

RedEnergy i korte trekk

ThreatLabz' siste forskning avdekker en svært sofistikert malware-kampanje som utnytter anerkjente LinkedIn-sider i bransjer for å målrette mot ofre. Eksempler inkluderer Philippines Industrial Machinery Manufacturing Company og forskjellige organisasjoner i Brasil. Angriperne setter i gang angrepet når brukere klikker på en lenke for å besøke et kompromittert selskaps nettsted fra LinkedIn. De bruker flertrinnsteknikker og skjuler skadelig programvare som nettleseroppdateringer for å lure brukere.

Stealer-as-a-Ransomware: Den analyserte skadelige programvaren har doble muligheter som både stjele og løsepengeprogramvare, noe som representerer en bekymringsfull utvikling i løsepenge-angrep. Den bruker obfuskeringsteknikker og bruker HTTPS for kommando- og kontrollkommunikasjon, noe som gjør deteksjon og analyse utfordrende.

Flertrinns kjøring: Skadevaren opererer gjennom flere stadier, og starter med kjøring av skjulte, ondsinnede kjørbare filer. Den etablerer utholdenhet, kommuniserer med DNS-servere og laster ned ytterligere nyttelast fra eksterne steder. Mistenkelige FTP-interaksjoner antyder potensiell dataeksfiltrering og uautoriserte filopplastinger.

Ransomware-funksjonalitet: Skadevaren inneholder løsepengeprogrammoduler som krypterer brukerdata med ".FACKOFF!" utvidelse, noe som gjør den utilgjengelig inntil løsepenger er betalt. Den endrer også desktop.ini-filen for å unngå gjenkjenning og endre filsystemmappens visningsinnstillinger.

Sletting av Shadow Drive-data: I det siste stadiet sletter skadelig programvare skyggestasjonsdata og Windows-sikkerhetskopiplaner, og forsterker ransomware-egenskapene. Den slipper en batch-fil og en løsepenge, og krever betaling i bytte mot fildekryptering.

Driftsmodus for RedEnergy Malware

Driftsmetoden for denne trusselkampanjen innebærer en svikefull omdirigeringsteknikk. Når brukere prøver å besøke det målrettede selskapets nettsted via LinkedIn-profilen deres, blir de ubevisst omdirigert til et ondsinnet nettsted. Der blir de bedt om å installere det som ser ut til å være en legitim nettleseroppdatering, presentert som et sett med fire forskjellige nettleserikoner. Men i stedet for en ekte oppdatering, laster den intetanende brukeren utilsiktet ned en kjørbar fil kjent som RedStealer.

Interessant nok, uavhengig av hvilket nettleserikon brukeren velger, blir de omdirigert til samme URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Denne URL-en starter nedlastingen av en fil som heter setupbrowser.exe, som er en del av den skadelige nyttelasten.

Det som gjør denne trusselkampanjen enda mer villedende er bruken av et villedende nedlastingsdomene kalt www[.]igrejaatos2[.]org. Dette domenet maskerer seg som et ChatGpt-nettsted, og lokker ofre til å laste ned en forfalsket offlineversjon av ChatGpt. Men etter å ha lastet ned den påståtte ChatGpt-zip-filen, skaffer offeret ubevisst den samme ondsinnede kjørbare filen som er nevnt tidligere.

Det er avgjørende for enkeltpersoner og organisasjoner å utvise ekstrem forsiktighet ved tilgang til nettsteder, spesielt de som er koblet fra LinkedIn-profiler. Omhu med å verifisere ektheten til nettleseroppdateringer og være på vakt mot uventede filnedlastinger er avgjørende for å beskytte mot slike ondsinnede kampanjer.