RedEnergy Stealer 将勒索软件和 Infostealer 合而为一

Zscaler ThreatLabz 最近有了一个有趣的发现，发现了一种名为 RedEnergy 窃取程序的恶意软件新变种。这种特殊的恶意软件属于 Stealer-as-a-Ransomware 类别，但不应将其误认为是澳大利亚公司 Red Energy。

RedEnergy 窃取者采用了一种巧妙的方法，利用虚假更新活动，针对各个行业。它能够从不同的网络浏览器窃取敏感数据，从而提取有价值的信息。此外，它还包含各种模块来执行勒索软件活动。尽管在分析过程中观察到了常见的方法名称，但该恶意软件保留了其名称。

在本博客中，我们深入研究了与最近发现的恶意软件相关的各种活动。我们还提供对其窃取者和勒索软件特征的全面技术分析。

今年早些时候，ThreatLabz 推出了一种名为 RAT-as-a-Ransomware 的新型威胁类别。然而，研究人员现在发现了另一种混合类别，称为“窃取者勒索软件”，它遵循类似的方法。最新发现的 RedEnergy 窃取程序将隐秘的数据盗窃与加密相结合，以造成最大的损害并获得对受害者的控制。它针对多个行业，包括能源公用事业、石油和天然气、电信和机械。恶意软件的这些进步标志着传统勒索软件攻击的显着转变和重大进步。

本案例研究中分析的 Stealer-as-a-Ransomware 样本变体采用了一种名为 FAKEUPDATES 的欺骗性活动来引诱其目标。它会诱骗他们及时更新网络浏览器。一旦进入系统，该恶意变体就会秘密提取敏感信息并继续加密受损文件。这使得受害者很容易遭受潜在的数据丢失、泄露，甚至有价值的数据被非法出售的风险。

红色能源简介

ThreatLabz 的最新研究发现了一种高度复杂的恶意软件活动，该活动利用行业中信誉良好的 LinkedIn 页面来瞄准受害者。例如菲律宾工业机械制造公司和巴西的各种组织。当用户从 LinkedIn 单击链接访问受感染公司的网站时，攻击者就会发起攻击。他们采用多阶段技术，将恶意软件伪装成浏览器更新来欺骗用户。

窃取者勒索软件：所分析的恶意软件具有窃取者和勒索软件的双重功能，代表了勒索软件攻击的令人担忧的演变。它利用混淆技术并采用 HTTPS 进行命令和控制通信，这使得检测和分析具有挑战性。

多阶段执行：恶意软件通过多个阶段进行操作，从执行伪装的恶意可执行文件开始。它建立持久性，与 DNS 服务器通信，并从远程位置下载额外的有效负载。可疑的 FTP 交互表明潜在的数据泄露和未经授权的文件上传。

勒索软件功能：该恶意软件包含勒索软件模块，可使用“.FACKOFF!”加密用户数据。扩展，在支付赎金之前无法访问它。它还修改desktop.ini 文件以逃避检测并更改文件系统文件夹显示设置。

删除影子驱动器数据：在最后阶段，恶意软件会删除影子驱动器数据和 Windows 备份计划，从而强化其勒索软件特征。它会释放一个批处理文件和一张勒索信，要求付款以换取文件解密。

RedEnergy 恶意软件的操作模式

该威胁活动的操作方法涉及欺骗性重定向技术。当用户尝试通过其 LinkedIn 个人资料访问目标公司的网站时，他们会在不知不觉中被重定向到恶意网站。在那里，系统会提示他们安装看似合法的浏览器更新，以一组四个不同的浏览器图标的形式呈现。然而，毫无戒心的用户无意中下载了一个名为 RedStealer 的可执行文件，而不是真正的更新。

有趣的是，无论用户选择哪个浏览器图标，它们都会被重定向到相同的 URL：www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe。此 URL 会启动名为 setupbrowser.exe 的文件的下载，该文件是恶意负载的一部分。

使该威胁活动更具欺骗性的是使用了名为 www[.]igrejaatos2[.]org 的误导性下载域。该域名伪装成 ChatGpt 站点，诱使受害者下载假冒的 ChatGpt 离线版本。然而，在下载所谓的 ChatGpt zip 文件后，受害者在不知不觉中获取了前面提到的相同恶意可执行文件。

对于个人和组织来说，访问网站（尤其是通过 LinkedIn 个人资料链接的网站）时要格外小心，这一点至关重要。努力验证浏览器更新的真实性并警惕意外的文件下载对于防范此类恶意活动至关重要。