RedEnergy Stealer łączy ransomware i Infostealer w jednym

Firma Zscaler ThreatLabz dokonała niedawno intrygującego odkrycia, odkrywając nową odmianę złośliwego oprogramowania o nazwie RedEnergy stealer. To konkretne złośliwe oprogramowanie należy do kategorii Stealer-as-a-Ransomware, chociaż nie należy go mylić z australijską firmą Red Energy.

Złodziej RedEnergy stosuje sprytne podejście, wykorzystując fałszywą kampanię aktualizacyjną skierowaną do różnych branż. Posiada zdolność kradzieży poufnych danych z różnych przeglądarek internetowych, umożliwiając wydobycie cennych informacji. Dodatkowo zawiera różne moduły do wykonywania działań ransomware. Pomimo wspólnych nazw metod zaobserwowanych podczas analizy, złośliwe oprogramowanie zachowało swoją nazwę.

Na tym blogu zagłębiamy się w różnorodne kampanie związane z tym niedawno zidentyfikowanym złośliwym oprogramowaniem. Zapewniamy również kompleksową analizę techniczną jego charakterystyki programów wykradających i ransomware.

Na początku tego roku ThreatLabz wprowadził nową kategorię zagrożeń o nazwie RAT-as-a-Ransomware. Jednak badacze zidentyfikowali teraz inną hybrydową kategorię o nazwie Stealer-as-a-Ransomware, która stosuje podobne podejście. Kradzież RedEnergy, najnowsze odkrycie, łączy podstępną kradzież danych z szyfrowaniem, aby wyrządzić maksymalne szkody i przejąć kontrolę nad ofiarami. Jest skierowany do kilku branż, w tym zakładów energetycznych, ropy i gazu, telekomunikacji i maszyn. Te postępy w złośliwym oprogramowaniu oznaczają godną uwagi zmianę i znaczny postęp w porównaniu z tradycyjnymi atakami ransomware.

Przykładowy wariant oprogramowania Stealer-as-a-Ransomware analizowany w tym studium przypadku wykorzystuje oszukańczą kampanię znaną jako FAKEUPDATES, aby zwabić swoje cele. Nakłania ich do natychmiastowej aktualizacji przeglądarek internetowych. Po wejściu do systemu ten złośliwy wariant potajemnie wydobywa poufne informacje i przystępuje do szyfrowania zainfekowanych plików. Naraża to ofiary na potencjalną utratę danych, ujawnienie, a nawet nielegalną sprzedaż ich cennych danych.

RedEnergy w skrócie

Najnowsze badania ThreatLabz ujawniają wysoce wyrafinowaną kampanię złośliwego oprogramowania, która wykorzystuje renomowane strony branżowe LinkedIn do atakowania ofiar. Przykłady obejmują Filipińską firmę produkującą maszyny przemysłowe i różne organizacje w Brazylii. Atakujący inicjują atak, gdy użytkownicy klikają łącze, aby odwiedzić zaatakowaną witrynę firmy z LinkedIn. Wykorzystują techniki wieloetapowe i ukrywają złośliwe oprogramowanie jako aktualizacje przeglądarki, aby oszukać użytkowników.

Stealer-as-a-Ransomware: analizowane złośliwe oprogramowanie posiada podwójne możliwości zarówno jako złodzieja, jak i ransomware, co stanowi niepokojącą ewolucję ataków ransomware. Wykorzystuje techniki zaciemniania i wykorzystuje protokół HTTPS do komunikacji poleceń i kontroli, co utrudnia wykrywanie i analizę.

Wykonanie wieloetapowe: Złośliwe oprogramowanie działa na wielu etapach, zaczynając od wykonania ukrytych złośliwych plików wykonywalnych. Ustanawia trwałość, komunikuje się z serwerami DNS i pobiera dodatkowe ładunki ze zdalnych lokalizacji. Podejrzane interakcje FTP sugerują potencjalną eksfiltrację danych i nieautoryzowane przesyłanie plików.

Funkcjonalność ransomware: Złośliwe oprogramowanie zawiera moduły ransomware, które szyfrują dane użytkownika za pomocą „.FACKOFF!” rozszerzenie, czyniąc go niedostępnym, dopóki nie zostanie zapłacony okup. Modyfikuje również plik desktop.ini, aby uniknąć wykrycia i zmienić ustawienia wyświetlania folderów systemu plików.

Usuwanie danych z dysku w tle: W końcowej fazie złośliwe oprogramowanie usuwa dane z dysku w tle i plany tworzenia kopii zapasowych systemu Windows, wzmacniając swoje właściwości oprogramowania ransomware. Upuszcza plik wsadowy i żądanie okupu, żądając zapłaty w zamian za odszyfrowanie pliku.

Tryb działania złośliwego oprogramowania RedEnergy

Metoda działania tej kampanii zagrożeń obejmuje oszukańczą technikę przekierowania. Gdy użytkownicy próbują odwiedzić witrynę docelowej firmy za pośrednictwem swojego profilu na LinkedIn, nieświadomie zostają przekierowani na złośliwą witrynę. Tam są proszeni o zainstalowanie czegoś, co wydaje się być legalną aktualizacją przeglądarki, przedstawioną jako zestaw czterech różnych ikon przeglądarki. Jednak zamiast prawdziwej aktualizacji niczego niepodejrzewający użytkownik nieumyślnie pobiera plik wykonywalny znany jako RedStealer.

Co ciekawe, niezależnie od tego, którą ikonę przeglądarki wybierze użytkownik, zostanie przekierowany na ten sam adres URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Ten adres URL inicjuje pobieranie pliku o nazwie setupbrowser.exe, który jest częścią złośliwego ładunku.

Tym, co czyni tę kampanię zagrożeń jeszcze bardziej zwodniczą, jest użycie mylącej domeny pobierania o nazwie www[.]igrejaatos2[.]org. Ta domena udaje witrynę ChatGpt, zachęcając ofiary do pobrania fałszywej wersji offline ChatGpt. Jednak po pobraniu rzekomego pliku zip ChatGpt ofiara nieświadomie nabywa ten sam złośliwy plik wykonywalny, o którym mowa wcześniej.

Bardzo ważne jest, aby osoby i organizacje zachowywały szczególną ostrożność podczas uzyskiwania dostępu do stron internetowych, zwłaszcza tych, do których prowadzą linki z profili LinkedIn. Staranność weryfikowania autentyczności aktualizacji przeglądarki i uważanie na nieoczekiwane pobieranie plików ma kluczowe znaczenie dla ochrony przed takimi złośliwymi kampaniami.