Multilicenční slevy
Threat Database Malware RedEnergy Stealer

RedEnergy Stealer

V roce Mezo v roce Malware, Ransomware, Stealers
Přeložit do:
Čeština

RedEnergy je vysoce sofistikovaný zloděj informací, který se proslavil svou klamavou taktikou a mnohostrannými schopnostmi. Tento hrozivý software se chytře maskuje tím, že se vydává za falešnou aktualizaci pro různé populární webové prohlížeče, čímž se zaměřuje na širokou škálu průmyslových odvětví. Využitím této masky se RedEnergy daří infiltrovat nic netušící systémy a provádět své hanebné operace.

Jednou z klíčových funkcí RedEnergy je její schopnost extrahovat citlivé informace z mnoha různých webových prohlížečů. To malwaru umožňuje získat cenná data, jako jsou přihlašovací údaje, osobní údaje a finanční informace, což vystavuje jednotlivce a organizace značnému riziku krádeže dat a narušení soukromí. Schopnost shromažďovat informace ve více prohlížečích rozšiřuje dosah a potenciální dopad RedEnergy, což z ní činí silnou hrozbu pro bezpečnost digitálního života uživatelů.

RedEnergy navíc přesahuje své možnosti shromažďování informací začleněním dalších modulů, které usnadňují aktivity ransomwaru. To znamená, že kromě exfiltrace cenných dat má malware potenciál zašifrovat soubory na infikovaných systémech a požadovat výkupné za jejich vydání. Tato duální funkce RedEnergy, která kombinuje krádež informací se schopností nasadit ransomware, ji řadí do odlišné kategorie známé jako 'Stealer-as-a-Ransomware'.

RedEnergy Stealer se maskuje jako legitimní aktualizace prohlížeče

Po aktivaci škodlivý spustitelný soubor RedEnergy maskuje svou skutečnou identitu a vydává se za legitimní aktualizaci prohlížeče. Chytrým napodobováním populárních prohlížečů, jako jsou Google Chrome, Microsoft Edge, Firefox a Opera, se RedEnergy snaží přimět nic netušící uživatele, aby uvěřili, že aktualizace je pravá a důvěryhodná.

Jakmile je uživatel podveden ke stažení a provedení podvodné aktualizace, RedEnergy přistoupí k uložení celkem čtyř souborů do kompromitovaného systému. Tyto soubory se skládají ze dvou dočasných souborů a dvou spustitelných souborů, přičemž jeden z nich slouží jako nebezpečný náklad. Současně malware iniciuje další proces na pozadí, který představuje škodlivé zatížení a zajišťuje jeho spuštění. Jakmile se tato užitečná zátěž uvolní, zobrazí urážlivou zprávu nešťastné oběti a přidá do jejích operací další vrstvu zlomyslných úmyslů.

Pro další zesílení hrozby je RedEnergy také vybavena mechanismem persistence. Tento mechanismus umožňuje malwaru zůstat v infikovaném systému i poté, co uživatel restartuje nebo vypne počítač. To zajišťuje nepřetržitý provoz RedEnergy a její schopnost provádět škodlivé činnosti bez přerušení, čímž se zesiluje dopad a životnost jejích útoků.

RedEnergy Stealer je schopen provádět ransomwarové útoky

RedEnergy zahrnuje ransomwarové moduly do své užitečné zátěže, což jí umožňuje šifrovat cenná data oběti. Hrozba připojuje '.FACKOFF!' rozšíření názvů všech zašifrovaných souborů. Toto šifrování činí soubory nepřístupnými a slouží jako metoda nátlaku k získání výkupného z oběti. K dalšímu zastrašení a zajištění kontroly předkládá RedEnergy oběti zprávu o výkupném s názvem „read_it.txt“, která popisuje požadavky na platbu výměnou za dešifrovací klíč. Jako další taktiku ransomware mění tapetu pracovní plochy, která slouží jako vizuální připomínka kompromisu a potřeby vyhovět požadavkům útočníků.

Ve své neúnavné snaze narušit schopnost oběti obnovit svá data se moduly ransomwaru implementované společností RedEnergy zapojí do další destruktivní akce. Zaměřují se na stínovou jednotku, což je funkce v operačním systému Windows, která uživatelům umožňuje vytvářet zálohy jejich souborů. Smazáním dat ze stínového disku RedEnergy efektivně eliminuje jakékoli potenciální zálohy, které by mohly pomoci oběti při obnově jejich zašifrovaných souborů, čímž zesílí naléhavost a tlak na splnění požadavků na výkupné.

Navíc nebezpečný spustitelný soubor spojený s RedEnergy manipuluje s důležitým konfiguračním souborem s názvem desktop.ini. Tento soubor ukládá důležitá nastavení pro složky systému souborů, včetně jejich vzhledu a chování. Prostřednictvím této manipulace získává RedEnergy schopnost upravovat vzhled složek systému souborů a potenciálně tuto schopnost využít k ukrytí své přítomnosti a aktivit v napadeném systému. Manipulací se souborem desktop.ini může RedEnergy vytvořit klamavé prostředí, které maskuje její nekalé činy a dále brání oběti ve schopnosti detekovat a zmírňovat dopad ransomwaru.

Integrace modulů ransomwaru do užitečného zatížení RedEnergy spolu se šifrováním souborů, prezentací zprávy o výkupném a změnou tapety na ploše ukazuje zlomyslné úmysly a pokročilé taktiky této hrozby. Odstranění dat ze stínové jednotky zvyšuje závažnost útoku tím, že eliminuje potenciální cesty pro obnovu dat. Zabezpečení systémů pomocí robustních bezpečnostních opatření a udržování aktuálních záloh na externích discích nebo cloudu je zásadní pro zmírnění rizik, která představuje RedEnergy a podobné hrozby malwaru.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...