RedEnergy Stealer mistura Ransomware e Infostealer em um

O Zscaler ThreatLabz recentemente fez uma descoberta intrigante, revelando uma nova variação de malware chamada RedEnergy stealer. Este malware específico se enquadra na categoria de Stealer-as-a-Ransomware, embora não deva ser confundido com a empresa australiana Red Energy.

O ladrão RedEnergy adota uma abordagem inteligente, utilizando uma campanha de atualização falsa, visando vários setores. Possui a capacidade de furtar dados confidenciais de diferentes navegadores da web, permitindo a extração de informações valiosas. Além disso, incorpora vários módulos para realizar atividades de ransomware. Apesar dos nomes de métodos comuns observados durante a análise, o malware manteve seu nome.

Neste blog, nos aprofundamos nas diversas campanhas associadas a esse malware recentemente identificado. Também fornecemos uma análise técnica abrangente de suas características de ladrão e ransomware.

No início deste ano, o ThreatLabz introduziu uma nova categoria de ameaça chamada RAT-as-a-Ransomware. No entanto, os pesquisadores agora identificaram outra categoria híbrida chamada Stealer-as-a-Ransomware, que segue uma abordagem semelhante. O ladrão RedEnergy, a descoberta mais recente, combina roubo furtivo de dados com criptografia para infligir dano máximo e obter controle sobre as vítimas. Destina-se a vários setores, incluindo serviços públicos de energia, petróleo e gás, telecomunicações e maquinário. Esses avanços em malware significam uma mudança notável e um progresso significativo além dos ataques tradicionais de ransomware.

A variante de amostra do Stealer-as-a-Ransomware analisada neste estudo de caso emprega uma campanha enganosa conhecida como FAKEUPDATES para atrair seus alvos. Ele os induz a atualizar prontamente seus navegadores da web. Uma vez dentro do sistema, essa variante maliciosa extrai secretamente informações confidenciais e passa a criptografar os arquivos comprometidos. Isso deixa as vítimas vulneráveis a uma possível perda de dados, exposição ou até mesmo à venda ilícita de seus valiosos dados.

RedEnergy em resumo

A pesquisa mais recente do ThreatLabz revela uma campanha de malware altamente sofisticada que explora páginas respeitáveis do LinkedIn de setores para atingir as vítimas. Exemplos incluem a Companhia de Manufatura de Máquinas Industriais das Filipinas e várias organizações no Brasil. Os invasores iniciam o ataque quando os usuários clicam em um link para visitar o site de uma empresa comprometida no LinkedIn. Eles empregam técnicas de vários estágios e disfarçam o malware como atualizações do navegador para enganar os usuários.

Stealer-as-a-Ransomware: o malware analisado possui capacidades duplas como ladrão e ransomware, representando uma evolução preocupante nos ataques de ransomware. Ele utiliza técnicas de ofuscação e emprega HTTPS para comunicação de comando e controle, tornando a detecção e a análise desafiadoras.

Execução em vários estágios: o malware opera em vários estágios, começando com a execução de executáveis maliciosos disfarçados. Ele estabelece persistência, se comunica com servidores DNS e baixa cargas úteis adicionais de locais remotos. Interações suspeitas de FTP sugerem possível exfiltração de dados e uploads de arquivos não autorizados.

Funcionalidade do ransomware: o malware incorpora módulos de ransomware que criptografam os dados do usuário com o ".FACKOFF!" extensão, tornando-o inacessível até que um resgate seja pago. Ele também modifica o arquivo desktop.ini para evitar a detecção e alterar as configurações de exibição da pasta do sistema de arquivos.

Exclusão de dados do Shadow Drive: em seu estágio final, o malware apaga os dados do Shadow Drive e os planos de backup do Windows, reforçando suas características de ransomware. Ele descarta um arquivo em lote e uma nota de resgate, exigindo pagamento em troca da descriptografia do arquivo.

Modo de operação do malware RedEnergy

O método operacional para esta campanha de ameaça envolve uma técnica de redirecionamento enganosa. Quando os usuários tentam visitar o site da empresa visada por meio de seu perfil do LinkedIn, eles são redirecionados sem saber para um site malicioso. Lá, eles são solicitados a instalar o que parece ser uma atualização de navegador legítima, apresentada como um conjunto de quatro ícones de navegador diferentes. No entanto, em vez de uma atualização genuína, o usuário desavisado inadvertidamente baixa um arquivo executável conhecido como RedStealer.

Curiosamente, independentemente de qual ícone do navegador o usuário selecionar, eles são redirecionados para a mesma URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Essa URL inicia o download de um arquivo chamado setupbrowser.exe, que faz parte da carga maliciosa.

O que torna essa campanha de ameaças ainda mais enganosa é o uso de um domínio de download enganoso chamado www[.]igrejaatos2[.]org. Este domínio se disfarça como um site ChatGpt, induzindo as vítimas a baixar uma versão offline falsificada do ChatGpt. No entanto, ao baixar o suposto arquivo zip do ChatGpt, a vítima, sem saber, adquire o mesmo executável malicioso mencionado anteriormente.

É crucial que indivíduos e organizações tenham extremo cuidado ao acessar sites, principalmente aqueles vinculados a perfis do LinkedIn. A diligência na verificação da autenticidade das atualizações do navegador e o cuidado com downloads inesperados de arquivos são fundamentais para se proteger contra essas campanhas maliciosas.