RedEnergy Stealer объединяет программы-вымогатели и Infostealer в одном

Zscaler ThreatLabz недавно сделал интригующее открытие, обнаружив новую разновидность вредоносного ПО под названием RedEnergy Stealer. Это конкретное вредоносное ПО подпадает под категорию Stealer-as-a-Ransomware, хотя его не следует путать с австралийской компанией Red Energy.

Похититель RedEnergy использует умный подход, используя поддельную кампанию обновлений, нацеленную на различные отрасли. Он обладает способностью воровать конфиденциальные данные из разных веб-браузеров, что позволяет извлекать ценную информацию. Кроме того, он включает в себя различные модули для выполнения действий программ-вымогателей. Несмотря на общие названия методов, наблюдаемые при анализе, вредоносное ПО сохранило свое название.

В этом блоге мы подробно расскажем о различных кампаниях, связанных с этим недавно обнаруженным вредоносным ПО. Мы также предоставляем всесторонний технический анализ характеристик программы-стилера и программы-вымогателя.

Ранее в этом году ThreatLabz представила новую категорию угроз под названием RAT-as-a-Ransomware. Однако теперь исследователи определили другую гибридную категорию под названием Stealer-as-a-Ransomware, которая следует аналогичному подходу. Похититель RedEnergy, последнее открытие, сочетает скрытую кражу данных с шифрованием, чтобы нанести максимальный ущерб и получить контроль над жертвами. Он нацелен на несколько отраслей, включая энергетические предприятия, нефть и газ, телекоммуникации и машиностроение. Эти достижения в области вредоносных программ означают заметный сдвиг и значительный прогресс по сравнению с традиционными атаками программ-вымогателей.

Образец программы Stealer-as-a-Ransomware, проанализированный в этом примере, использует обманную кампанию, известную как FAKEUPDATES, чтобы заманить свои цели. Это заставляет их быстро обновлять свои веб-браузеры. Оказавшись внутри системы, этот вредоносный вариант тайно извлекает конфиденциальную информацию и приступает к шифрованию скомпрометированных файлов. Это делает жертв уязвимыми для потенциальной потери данных, раскрытия или даже незаконной продажи их ценных данных.

Коротко о RedEnergy

Последнее исследование ThreatLabz раскрывает очень сложную кампанию вредоносного ПО, которая использует авторитетные страницы LinkedIn в различных отраслях для нацеливания на жертв. Примеры включают Филиппинскую компанию по производству промышленного оборудования и различные организации в Бразилии. Злоумышленники инициируют атаку, когда пользователи нажимают на ссылку для перехода на сайт скомпрометированной компании из LinkedIn. Они используют многоэтапные методы и маскируют вредоносное ПО под обновления браузера, чтобы обмануть пользователей.

Похититель как программа-вымогатель: проанализированное вредоносное ПО обладает двойными возможностями как программы-похитителя и программы-вымогателя, что свидетельствует об эволюции атак программ-вымогателей. Он использует методы обфускации и использует HTTPS для командной и контрольной связи, что затрудняет обнаружение и анализ.

Многоэтапное выполнение. Вредоносное ПО проходит несколько этапов, начиная с выполнения замаскированных вредоносных исполняемых файлов. Он устанавливает постоянство, взаимодействует с DNS-серверами и загружает дополнительные полезные данные из удаленных мест. Подозрительные FTP-взаимодействия предполагают потенциальную утечку данных и несанкционированную загрузку файлов.

Функциональность программы-вымогателя: Вредоносная программа включает в себя модули программы-вымогателя, которые шифруют пользовательские данные с помощью «.FACKOFF!» расширение, что делает его недоступным до тех пор, пока не будет выплачен выкуп. Он также изменяет файл desktop.ini, чтобы избежать обнаружения и изменить настройки отображения папок файловой системы.

Удаление данных теневого диска. На заключительном этапе вредоносное ПО стирает данные теневого диска и планы резервного копирования Windows, усиливая свои характеристики программы-вымогателя. Он сбрасывает пакетный файл и записку о выкупе, требуя оплаты в обмен на расшифровку файла.

Принцип работы вредоносного ПО RedEnergy

Метод работы для этой кампании угроз включает обманную технику перенаправления. Когда пользователи пытаются посетить веб-сайт целевой компании через свой профиль LinkedIn, они неосознанно перенаправляются на вредоносный веб-сайт. Там им предлагается установить то, что кажется законным обновлением браузера, представленным в виде набора из четырех разных значков браузера. Однако вместо подлинного обновления ничего не подозревающий пользователь непреднамеренно загружает исполняемый файл, известный как RedStealer.

Интересно, что независимо от того, какой значок браузера выбирает пользователь, он перенаправляется на один и тот же URL-адрес: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Этот URL-адрес инициирует загрузку файла с именем setupbrowser.exe, который является частью вредоносной полезной нагрузки.

Что делает эту кампанию угроз еще более обманчивой, так это использование вводящего в заблуждение домена загрузки под названием www[.]igrejaatos2[.]org. Этот домен маскируется под сайт ChatGpt, побуждая жертв загружать поддельную автономную версию ChatGpt. Однако при загрузке предполагаемого zip-файла ChatGpt жертва по незнанию получает тот же вредоносный исполняемый файл, о котором упоминалось ранее.

Для отдельных лиц и организаций крайне важно проявлять крайнюю осторожность при доступе к веб-сайтам, особенно к тем, на которые есть ссылки из профилей LinkedIn. Тщательная проверка подлинности обновлений браузера и осторожность в отношении неожиданных загрузок файлов имеют первостепенное значение для защиты от таких вредоносных кампаний.