RedEnergy Stealer 將勒索軟件和 Infostealer 合而為一

Zscaler ThreatLabz 最近有了一個有趣的發現，發現了一種名為 RedEnergy 竊取程序的惡意軟件新變種。這種特殊的惡意軟件屬於 Stealer-as-a-Ransomware 類別，但不應將其誤認為是澳大利亞公司 Red Energy。

RedEnergy 竊取者採用了一種巧妙的方法，利用虛假更新活動，針對各個行業。它能夠從不同的網絡瀏覽器竊取敏感數據，從而提取有價值的信息。此外，它還包含各種模塊來執行勒索軟件活動。儘管在分析過程中觀察到了常見的方法名稱，但該惡意軟件保留了其名稱。

在本博客中，我們深入研究了與最近發現的惡意軟件相關的各種活動。我們還提供對其竊取者和勒索軟件特徵的全面技術分析。

今年早些時候，ThreatLabz 推出了一種名為 RAT-as-a-Ransomware 的新型威脅類別。然而，研究人員現在發現了另一種混合類別，稱為“竊取者勒索軟件”，它遵循類似的方法。最新發現的 RedEnergy 竊取程序將隱秘的數據盜竊與加密相結合，以造成最大的損害並獲得對受害者的控制。它針對多個行業，包括能源公用事業、石油和天然氣、電信和機械。惡意軟件的這些進步標誌著傳統勒索軟件攻擊的顯著轉變和重大進步。

本案例研究中分析的 Stealer-as-a-Ransomware 樣本變體採用了一種名為 FAKEUPDATES 的欺騙性活動來引誘其目標。它會誘騙他們及時更新網絡瀏覽器。一旦進入系統，該惡意變體就會秘密提取敏感信息並繼續加密受損文件。這使得受害者很容易遭受潛在的數據丟失、洩露，甚至有價值的數據被非法出售的風險。

紅色能源簡介

ThreatLabz 的最新研究發現了一種高度複雜的惡意軟件活動，該活動利用行業中信譽良好的 LinkedIn 頁面來瞄準受害者。例如菲律賓工業機械製造公司和巴西的各種組織。當用戶從 LinkedIn 單擊鏈接訪問受感染公司的網站時，攻擊者就會發起攻擊。他們採用多階段技術，將惡意軟件偽裝成瀏覽器更新來欺騙用戶。

竊取者勒索軟件：所分析的惡意軟件具有竊取者和勒索軟件的雙重功能，代表了勒索軟件攻擊的令人擔憂的演變。它利用混淆技術並採用 HTTPS 進行命令和控制通信，這使得檢測和分析具有挑戰性。

多階段執行：惡意軟件通過多個階段進行操作，從執行偽裝的惡意可執行文件開始。它建立持久性，與 DNS 服務器通信，並從遠程位置下載額外的有效負載。可疑的 FTP 交互表明潛在的數據洩露和未經授權的文件上傳。

勒索軟件功能：該惡意軟件包含勒索軟件模塊，可使用“.FACKOFF!”加密用戶數據。擴展，在支付贖金之前無法訪問它。它還修改desktop.ini 文件以逃避檢測並更改文件系統文件夾顯示設置。

刪除影子驅動器數據：在最後階段，惡意軟件會刪除影子驅動器數據和 Windows 備份計劃，從而強化其勒索軟件特徵。它會釋放一個批處理文件和一張勒索信，要求付款以換取文件解密。

RedEnergy 惡意軟件的操作模式

該威脅活動的操作方法涉及欺騙性重定向技術。當用戶嘗試通過其 LinkedIn 個人資料訪問目標公司的網站時，他們會在不知不覺中被重定向到惡意網站。在那裡，系統會提示他們安裝看似合法的瀏覽器更新，以一組四個不同的瀏覽器圖標的形式呈現。然而，毫無戒心的用戶無意中下載了一個名為 RedStealer 的可執行文件，而不是真正的更新。

有趣的是，無論用戶選擇哪個瀏覽器圖標，它們都會被重定向到相同的 URL：www[.]igrejaatos2[.]org/assets/programs/setupbrowser.exe。此 URL 會啟動名為 setupbrowser.exe 的文件的下載，該文件是惡意負載的一部分。

使該威脅活動更具欺騙性的是使用了名為 www[.]igrejaatos2[.]org 的誤導性下載域。該域名偽裝成 ChatGpt 站點，誘使受害者下載假冒的 ChatGpt 離線版本。然而，在下載所謂的 ChatGpt zip 文件後，受害者在不知不覺中獲取了前面提到的相同惡意可執行文件。

對於個人和組織來說，訪問網站（尤其是通過 LinkedIn 個人資料鏈接的網站）時要格外小心，這一點至關重要。努力驗證瀏覽器更新的真實性並警惕意外的文件下載對於防範此類惡意活動至關重要。