RedEnergy Stealer combineert ransomware en Infostealer in één

Zscaler ThreatLabz deed onlangs een intrigerende ontdekking en ontdekte een nieuwe variant van malware genaamd RedEnergy stealer. Deze specifieke malware valt onder de categorie Stealer-as-a-Ransomware, hoewel het niet moet worden verward met het Australische bedrijf Red Energy.

RedEnergy-stealer hanteert een slimme aanpak door gebruik te maken van een nep-updatecampagne, gericht op verschillende industrieën. Het heeft de mogelijkheid om gevoelige gegevens uit verschillende webbrowsers te stelen, waardoor waardevolle informatie kan worden geëxtraheerd. Bovendien bevat het verschillende modules om ransomware-activiteiten uit te voeren. Ondanks de gemeenschappelijke methodenamen die tijdens de analyse werden waargenomen, behield de malware zijn naam.

In deze blog gaan we dieper in op de diverse campagnes die verband houden met deze recent geïdentificeerde malware. We bieden ook een uitgebreide technische analyse van de stealer- en ransomware-kenmerken.

Eerder dit jaar introduceerde ThreatLabz een nieuwe bedreigingscategorie genaamd RAT-as-a-Ransomware. Onderzoekers hebben nu echter een andere hybride categorie geïdentificeerd, Stealer-as-a-Ransomware genaamd, die een vergelijkbare aanpak volgt. RedEnergy stealer, de nieuwste ontdekking, combineert onopvallende gegevensdiefstal met encryptie om maximale schade aan te richten en controle over slachtoffers te krijgen. Het richt zich op verschillende industrieën, waaronder energiebedrijven, olie en gas, telecommunicatie en machines. Deze vooruitgang in malware betekent een opmerkelijke verschuiving en aanzienlijke vooruitgang ten opzichte van traditionele ransomware-aanvallen.

De voorbeeldvariant van Stealer-as-a-Ransomware die in deze casestudy is geanalyseerd, maakt gebruik van een misleidende campagne die bekend staat als FAKEUPDATES om zijn doelen te lokken. Het verleidt hen om hun webbrowsers onmiddellijk bij te werken. Eenmaal in het systeem extraheert deze kwaadaardige variant in het geheim gevoelige informatie en gaat verder met het versleutelen van gecompromitteerde bestanden. Dit maakt slachtoffers kwetsbaar voor mogelijk gegevensverlies, blootstelling of zelfs de illegale verkoop van hun waardevolle gegevens.

RedEnergy in het kort

Het meest recente onderzoek van ThreatLabz onthult een zeer geavanceerde malwarecampagne die misbruik maakt van gerenommeerde LinkedIn-pagina's van bedrijfstakken om zich op slachtoffers te richten. Voorbeelden hiervan zijn de Philippines Industrial Machinery Manufacturing Company en verschillende organisaties in Brazilië. De aanvallers starten de aanval wanneer gebruikers op een link klikken om de website van een gecompromitteerd bedrijf op LinkedIn te bezoeken. Ze gebruiken meertrapstechnieken en vermommen de malware als browserupdates om gebruikers te misleiden.

Stealer-as-a-Ransomware: de geanalyseerde malware beschikt over dubbele mogelijkheden als stealer en als ransomware, wat een zorgwekkende evolutie in ransomware-aanvallen vertegenwoordigt. Het maakt gebruik van verduisteringstechnieken en gebruikt HTTPS voor commando- en controlecommunicatie, wat detectie en analyse een uitdaging maakt.

Uitvoering in meerdere fasen: de malware doorloopt meerdere fasen, te beginnen met de uitvoering van vermomde schadelijke uitvoerbare bestanden. Het zorgt voor persistentie, communiceert met DNS-servers en downloadt extra payloads van externe locaties. Verdachte FTP-interacties suggereren mogelijke data-exfiltratie en ongeoorloofde bestandsuploads.

Ransomware-functionaliteit: de malware bevat ransomware-modules die gebruikersgegevens versleutelen met de ".FACKOFF!" extensie, waardoor het ontoegankelijk wordt totdat er losgeld is betaald. Het wijzigt ook het bestand desktop.ini om detectie te omzeilen en de weergave-instellingen van de bestandssysteemmap te wijzigen.

Verwijdering van Shadow Drive-gegevens: in de laatste fase wist de malware de schaduwdrive-gegevens en Windows-back-upplannen, waardoor de ransomware-kenmerken worden versterkt. Het dropt een batchbestand en een losgeldbrief en eist betaling in ruil voor bestandsdecodering.

Werkingsmodus van de RedEnergy-malware

De werkwijze voor deze dreigingscampagne omvat een bedrieglijke omleidingstechniek. Wanneer gebruikers de website van het beoogde bedrijf proberen te bezoeken via hun LinkedIn-profiel, worden ze onbewust omgeleid naar een kwaadaardige website. Daar worden ze gevraagd om een schijnbaar legitieme browserupdate te installeren, gepresenteerd als een set van vier verschillende browserpictogrammen. In plaats van een echte update downloadt de nietsvermoedende gebruiker echter per ongeluk een uitvoerbaar bestand dat bekend staat als RedStealer.

Interessant is dat ongeacht welk browserpictogram de gebruiker selecteert, ze worden omgeleid naar dezelfde URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Deze URL initieert de download van een bestand met de naam setupbrowser.exe, dat deel uitmaakt van de schadelijke payload.

Wat deze dreigingscampagne nog misleidender maakt, is het gebruik van een misleidend downloaddomein genaamd www[.]igrejaatos2[.]org. Dit domein doet zich voor als een ChatGpt-site en verleidt slachtoffers om een valse offline versie van ChatGpt te downloaden. Bij het downloaden van het vermeende ChatGpt-zipbestand verkrijgt het slachtoffer echter onbewust hetzelfde kwaadaardige uitvoerbare bestand dat eerder werd genoemd.

Het is van cruciaal belang voor individuen en organisaties om uiterst voorzichtig te zijn bij het bezoeken van websites, met name die waarnaar wordt verwezen vanuit LinkedIn-profielen. Nauwkeurigheid bij het verifiëren van de authenticiteit van browserupdates en op uw hoede zijn voor onverwachte bestandsdownloads is van het grootste belang om u te beschermen tegen dergelijke kwaadaardige campagnes.