RedEnergy Stealer blandar Ransomware och Infostealer i ett

Zscaler ThreatLabz gjorde nyligen en spännande upptäckt och upptäckte en ny variant av skadlig programvara som heter RedEnergy stealer. Denna speciella skadliga programvara faller under kategorin Stealer-as-a-Ransomware, även om den inte bör misstas för det australiensiska företaget Red Energy.

RedEnergy stealer antar ett smart tillvägagångssätt genom att använda en falsk uppdateringskampanj, riktad mot olika branscher. Den har förmågan att stjäla känslig information från olika webbläsare, vilket möjliggör utvinning av värdefull information. Dessutom innehåller den olika moduler för att utföra ransomware-aktiviteter. Trots de vanliga metodnamnen som observerades under analysen behöll den skadliga programvaran sitt namn.

I den här bloggen fördjupar vi oss i de olika kampanjerna förknippade med denna nyligen identifierade skadliga programvara. Vi tillhandahåller också en omfattande teknisk analys av dess stjälar- och ransomware-egenskaper.

Tidigare i år introducerade ThreatLabz en ny hotkategori som heter RAT-as-a-Ransomware. Men forskare har nu identifierat en annan hybridkategori som heter Stealer-as-a-Ransomware, som följer ett liknande tillvägagångssätt. RedEnergy stealer, den senaste upptäckten, kombinerar smyg datastöld med kryptering för att orsaka maximal skada och få kontroll över offer. Den riktar sig till flera industrier, inklusive energibolag, olja och gas, telekommunikation och maskiner. Dessa framsteg inom skadlig programvara innebär en anmärkningsvärd förändring och betydande framsteg bortom traditionella ransomware-attacker.

Provvarianten av Stealer-as-a-Ransomware som analyserades i den här fallstudien använder en vilseledande kampanj som kallas FAKEUPDATES för att locka sina mål. Det lurar dem att snabbt uppdatera sina webbläsare. Väl inne i systemet extraherar denna skadliga variant i hemlighet känslig information och fortsätter att kryptera komprometterade filer. Detta gör offren sårbara för potentiell dataförlust, exponering eller till och med olaglig försäljning av deras värdefulla data.

RedEnergy i korthet

ThreatLabz senaste forskning avslöjar en mycket sofistikerad malware-kampanj som utnyttjar välrenommerade LinkedIn-sidor i industrier för att rikta in sig på offer. Exempel inkluderar Philippines Industrial Machinery Manufacturing Company och olika organisationer i Brasilien. Angriparna initierar attacken när användare klickar på en länk för att besöka ett utsatt företags webbplats från LinkedIn. De använder flerstegstekniker och döljer skadlig programvara som webbläsaruppdateringar för att lura användare.

Stealer-as-a-Ransomware: Den analyserade skadliga programvaran har dubbla möjligheter som både en stjälare och ransomware, vilket representerar en oroande utveckling av ransomware-attacker. Den använder obfuskeringstekniker och använder HTTPS för kommando- och kontrollkommunikation, vilket gör upptäckt och analys utmanande.

Multi-Stage Execution: Skadlig programvara fungerar genom flera steg, med början med exekvering av förtäckta skadliga körbara filer. Den etablerar uthållighet, kommunicerar med DNS-servrar och laddar ner ytterligare nyttolaster från avlägsna platser. Misstänkta FTP-interaktioner tyder på potentiell dataexfiltrering och obehöriga filuppladdningar.

Ransomware-funktionalitet: Skadlig programvara innehåller ransomware-moduler som krypterar användardata med ".FACKOFF!" förlängning, vilket gör den otillgänglig tills en lösen har betalats. Den modifierar också filen desktop.ini för att undvika upptäckt och ändra inställningar för filsystemmappvisning.

Radering av Shadow Drive-data: I sitt sista skede raderar skadlig programvara skuggenhetsdata och Windows-säkerhetskopior, vilket förstärker dess ransomware-egenskaper. Den släpper en batchfil och en lösennota och kräver betalning i utbyte mot fildekryptering.

Funktionssätt för RedEnergy Malware

Driftsmetoden för denna hotkampanj innefattar en bedräglig omdirigeringsteknik. När användare försöker besöka det riktade företagets webbplats via sin LinkedIn-profil, omdirigeras de omedvetet till en skadlig webbplats. Där uppmanas de att installera vad som verkar vara en legitim webbläsaruppdatering, presenterad som en uppsättning av fyra olika webbläsarikoner. Men istället för en äkta uppdatering laddar den intet ont anande användaren av misstag ned en körbar fil som kallas RedStealer.

Intressant nog, oavsett vilken webbläsarikon användaren väljer, omdirigeras de till samma URL: www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe. Denna URL initierar nedladdningen av en fil med namnet setupbrowser.exe, som är en del av den skadliga nyttolasten.

Det som gör denna hotkampanj ännu mer vilseledande är användningen av en vilseledande nedladdningsdomän som heter www[.]igrejaatos2[.]org. Den här domänen maskerar sig som en ChatGpt-webbplats och lockar offer att ladda ner en förfalskad offlineversion av ChatGpt. Men vid nedladdning av den påstådda ChatGpt-zip-filen skaffar offret omedvetet samma skadliga körbara som nämnts tidigare.

Det är avgörande för individer och organisationer att iaktta extrem försiktighet när de besöker webbplatser, särskilt de som länkas från LinkedIn-profiler. Det är ytterst viktigt att vara noggrann med att verifiera äktheten av webbläsaruppdateringar och vara försiktig med oväntade filnedladdningar för att skydda mot sådana skadliga kampanjer.