RedEnergy Stealer

RedEnergy هو سرقة معلومات متطورة للغاية اكتسب سمعة سيئة بسبب تكتيكاته الخادعة وقدراته المتعددة الأوجه. يتبنى برنامج التهديد هذا تمويهًا ذكيًا من خلال التظاهر بأنه تحديث مزيف للعديد من متصفحات الويب الشائعة ، وبالتالي يستهدف مجموعة واسعة من قطاعات الصناعة. من خلال استغلال هذا المظهر ، تمكنت RedEnergy من التسلل إلى الأنظمة المطمئنة وتنفيذ عملياتها الشائنة.

تتمثل إحدى الوظائف الرئيسية لـ RedEnergy في إتقانها لاستخراج المعلومات الحساسة من العديد من متصفحات الويب المختلفة. يتيح ذلك للبرامج الضارة استرداد البيانات القيمة مثل بيانات اعتماد تسجيل الدخول والتفاصيل الشخصية والمعلومات المالية ، مما يعرض الأفراد والمؤسسات لخطر كبير من سرقة البيانات وانتهاكات الخصوصية. تعمل القدرة على جمع المعلومات عبر متصفحات متعددة على توسيع مدى وصول RedEnergy وتأثيرها المحتمل ، مما يجعلها تهديدًا قويًا لأمن حياة المستخدمين الرقمية.

علاوة على ذلك ، تتجاوز RedEnergy قدراتها في جمع المعلومات من خلال دمج وحدات إضافية تسهل أنشطة برامج الفدية. هذا يعني أنه بالإضافة إلى سرقة البيانات القيمة ، فإن البرمجيات الخبيثة لديها القدرة على تشفير الملفات على الأنظمة المصابة والمطالبة بفدية مقابل إطلاقها. هذه الوظيفة المزدوجة لـ RedEnergy ، التي تجمع بين سرقة المعلومات والقدرة على نشر برامج الفدية ، تضعها في فئة مميزة تُعرف باسم "Stealer-as-a-Ransomware".

The RedEnergy Stealer يتنكر كتحديث متصفح شرعي

عند التنشيط ، يخفي RedEnergy الضار القابل للتنفيذ هويته الحقيقية ، متظاهرًا بأنه تحديث شرعي للمتصفح. من خلال محاكاة المتصفحات الشهيرة بذكاء ، مثل Google Chrome و Microsoft Edge و Firefox و Opera ، تهدف RedEnergy إلى جعل المستخدمين المطمئنين يعتقدون أن التحديث حقيقي وجدير بالثقة.

بمجرد خداع المستخدم لتنزيل التحديث المخادع وتنفيذه ، تشرع RedEnergy في إيداع ما مجموعه أربعة ملفات على النظام المخترق. تتكون هذه الملفات من ملفين مؤقتين وملفين قابلين للتنفيذ ، أحدهما يعمل كحمولة غير آمنة. في الوقت نفسه ، يبدأ البرنامج الضار عملية خلفية إضافية تمثل الحمولة الخبيثة ، مما يضمن تنفيذها. عندما يتم إطلاق العنان لهذه الحمولة ، فإنها تعرض رسالة مهينة للضحية المؤسفة ، مضيفة طبقة إضافية من النوايا الخبيثة لعملياتها.

لزيادة تفاقم التهديد ، تم تجهيز RedEnergy أيضًا بآلية ثبات. تمكن هذه الآلية البرامج الضارة من البقاء على النظام المصاب حتى بعد إعادة تشغيل المستخدم أو إيقاف تشغيل الكمبيوتر. وهذا يضمن استمرار عمل RedEnergy وقدرته على تنفيذ الأنشطة الخبيثة دون انقطاع ، مما يضخم تأثير هجماتها وطول أمدها.

RedEnergy Stealer قادر على تنفيذ هجمات برامج الفدية

تدمج RedEnergy وحدات برامج الفدية في حمولتها ، مما يمكنها من تشفير البيانات القيمة للضحية. يُلحق التهديد بـ ".FACKOFF!" امتداد لأسماء جميع الملفات المشفرة. هذا التشفير يجعل الملفات غير قابلة للوصول ويعمل كوسيلة للإكراه لانتزاع فدية من الضحية. لمزيد من التخويف وتأكيد السيطرة ، تقدم RedEnergy للضحية رسالة فدية بعنوان "read_it.txt" تحدد مطالب الدفع مقابل مفتاح فك التشفير. كتكتيك إضافي ، يغير برنامج الفدية خلفية سطح المكتب ، ويعمل بمثابة تذكير مرئي بالحل الوسط والحاجة إلى الامتثال لمطالب المهاجمين.

في سعيها الدؤوب لتعطيل قدرة الضحية على استعادة بياناتها ، تشارك وحدات برامج الفدية التي تنفذها RedEnergy في إجراء مدمر آخر أيضًا. يستهدفون محرك الظل ، وهي ميزة داخل نظام التشغيل Windows تتيح للمستخدمين إنشاء نسخ احتياطية من ملفاتهم. من خلال حذف البيانات من محرك الظل ، تقضي RedEnergy بشكل فعال على أي نسخ احتياطية محتملة يمكن أن تساعد الضحية في استعادة ملفاتها المشفرة ، مما يزيد من الإلحاح والضغط للامتثال لمطالب الفدية.

علاوة على ذلك ، فإن الملف التنفيذي غير الآمن المرتبط بـ RedEnergy يعالج ملف تكوين مهم يسمى desktop.ini. يخزن هذا الملف الإعدادات الهامة لمجلدات نظام الملفات ، بما في ذلك مظهرها وسلوكها. من خلال هذا التلاعب ، تكتسب RedEnergy القدرة على تعديل مظهر مجلدات نظام الملفات ، ومن المحتمل أن تستخدم هذه القدرة لإخفاء وجودها وأنشطتها على النظام المخترق. من خلال التلاعب بملف desktop.ini ، يمكن لـ RedEnergy إنشاء بيئة خادعة تخفي أفعالها الشائنة وتعيق أيضًا قدرة الضحية على اكتشاف وتخفيف تأثير برامج الفدية.

يُظهر دمج وحدات برامج الفدية في حمولة RedEnergy ، إلى جانب تشفير الملفات ، وتقديم رسالة فدية ، وتغيير خلفية سطح المكتب ، النية الخبيثة والتكتيكات المتقدمة التي يستخدمها هذا التهديد. يؤدي حذف البيانات من محرك الظل إلى تفاقم خطورة الهجوم من خلال القضاء على السبل المحتملة لاستعادة البيانات. تعد حماية الأنظمة من خلال تدابير أمنية قوية والحفاظ على نسخ احتياطية محدثة على محركات الأقراص الخارجية أو السحابة أمرًا بالغ الأهمية للتخفيف من المخاطر التي تشكلها RedEnergy وتهديدات البرامج الضارة المماثلة.