RedEnergy Stealer

RedEnergy یک دزد اطلاعات بسیار پیچیده است که به دلیل تاکتیک های فریبنده و قابلیت های چند وجهی خود شهرت زیادی به دست آورده است. این نرم‌افزار تهدیدآمیز با ظاهر شدن به‌عنوان یک به‌روزرسانی جعلی برای مرورگرهای وب مختلف، پوششی هوشمندانه را به کار می‌گیرد و در نتیجه طیف وسیعی از بخش‌های صنعت را هدف قرار می‌دهد. RedEnergy با بهره‌برداری از این پوشش موفق می‌شود به سیستم‌های غیرمجاز نفوذ کند و عملیات پلید خود را اجرا کند.

یکی از قابلیت های کلیدی RedEnergy مهارت آن در استخراج اطلاعات حساس از چندین مرورگر وب مختلف است. این بدافزار را قادر می‌سازد تا داده‌های ارزشمندی مانند اعتبار ورود، اطلاعات شخصی و اطلاعات مالی را بازیابی کند و افراد و سازمان‌ها را در معرض خطر سرقت داده‌ها و نقض حریم خصوصی قرار دهد. توانایی جمع‌آوری اطلاعات در چندین مرورگر، دامنه و تأثیر بالقوه RedEnergy را افزایش می‌دهد و آن را به تهدیدی قوی برای امنیت زندگی دیجیتالی کاربران تبدیل می‌کند.

علاوه بر این، RedEnergy با ترکیب ماژول‌های اضافی که فعالیت‌های باج‌افزار را تسهیل می‌کنند، فراتر از قابلیت‌های جمع‌آوری اطلاعات خود است. این بدان معناست که این بدافزار علاوه بر استخراج داده‌های ارزشمند، پتانسیل رمزگذاری فایل‌ها را در سیستم‌های آلوده و درخواست باج برای انتشار آنها دارد. این عملکرد دوگانه RedEnergy، ترکیب سرقت اطلاعات با قابلیت استقرار باج‌افزار، آن را در دسته‌بندی متمایز به نام «Stealer-as-a-Ransomware» قرار می‌دهد.

RedEnergy Stealer به عنوان یک به‌روزرسانی قانونی مرورگر معرفی می‌شود

پس از فعال سازی، فایل اجرایی مضر RedEnergy هویت واقعی خود را پنهان می کند و به عنوان یک به روز رسانی قانونی مرورگر ظاهر می شود. RedEnergy با تقلید هوشمندانه از مرورگرهای محبوب مانند گوگل کروم، مایکروسافت اج، فایرفاکس و اپرا، قصد دارد تا کاربران ناآگاه را باور کند که به‌روزرسانی واقعی و قابل اعتماد است.

هنگامی که کاربر فریب خورد و به‌روزرسانی فریبنده را دانلود و اجرا کرد، RedEnergy در مجموع چهار فایل را روی سیستم در معرض خطر قرار می‌دهد. این فایل ها از دو فایل موقت و دو فایل اجرایی تشکیل شده اند که یکی از آنها به عنوان محموله ناامن عمل می کند. به طور همزمان، بدافزار یک فرآیند پس‌زمینه اضافی را آغاز می‌کند که نشان‌دهنده بار مخرب است و اجرای آن را تضمین می‌کند. هنگامی که این محموله آزاد می شود، پیامی توهین آمیز به قربانی نگون بخت نشان می دهد و لایه دیگری از قصد مخرب به عملیات خود اضافه می کند.

برای تشدید بیشتر تهدید، RedEnergy همچنین به مکانیزم پایداری مجهز شده است. این مکانیسم به بدافزار اجازه می‌دهد حتی پس از راه‌اندازی مجدد یا خاموش کردن رایانه توسط کاربر، روی سیستم آلوده باقی بماند. این امر عملکرد مداوم RedEnergy و توانایی آن را برای انجام فعالیت های مخرب بدون وقفه تضمین می کند و تأثیر و طول عمر حملات آن را تقویت می کند.

RedEnergy Stealer قادر به انجام حملات باج افزار است

RedEnergy ماژول‌های باج‌افزار را در محموله خود قرار می‌دهد و به آن امکان می‌دهد داده‌های ارزشمند قربانی را رمزگذاری کند. تهدید ".FACKOFF!" را اضافه می کند. پسوند نام تمام فایل های رمزگذاری شده این رمزگذاری فایل ها را غیرقابل دسترسی می کند و به عنوان روشی برای اجبار برای استخراج باج از قربانی عمل می کند. برای ارعاب بیشتر و اعمال کنترل، RedEnergy یک پیام باج به قربانی با عنوان 'read_it.txt' ارائه می‌کند که درخواست‌های پرداخت در ازای کلید رمزگشایی را مشخص می‌کند. به عنوان یک تاکتیک اضافی، باج‌افزار تصویر زمینه دسکتاپ را تغییر می‌دهد و به عنوان یادآوری بصری مصالحه و نیاز به تبعیت از خواسته‌های مهاجمان عمل می‌کند.

ماژول‌های باج‌افزاری که توسط RedEnergy پیاده‌سازی شده‌اند، در تلاش بی‌وقفه خود برای مختل کردن توانایی قربانی برای بازیابی داده‌های خود، اقدام مخرب دیگری نیز انجام می‌دهند. آنها درایو سایه را هدف قرار می دهند، یک ویژگی در سیستم عامل ویندوز که به کاربران اجازه می دهد از فایل های خود نسخه پشتیبان تهیه کنند. با حذف داده‌ها از درایو سایه، RedEnergy به طور موثر هر گونه نسخه پشتیبان بالقوه‌ای را که می‌تواند به قربانی در بازیابی فایل‌های رمزگذاری شده‌اش کمک کند، حذف می‌کند و فوریت و فشار را برای مطابقت با درخواست‌های باج تشدید می‌کند.

علاوه بر این، فایل اجرایی ناامن مرتبط با RedEnergy یک فایل پیکربندی مهم به نام desktop.ini را دستکاری می کند. این فایل تنظیمات حیاتی پوشه های سیستم فایل، از جمله ظاهر و رفتار آنها را ذخیره می کند. از طریق این دستکاری، RedEnergy این قابلیت را به دست می آورد که ظاهر پوشه های سیستم فایل را تغییر دهد و به طور بالقوه از این توانایی برای پنهان کردن حضور و فعالیت های خود در سیستم در معرض خطر استفاده کند. با دستکاری در فایل desktop.ini، RedEnergy می‌تواند یک محیط فریبنده ایجاد کند که اعمال پلید خود را پنهان می‌کند و مانع از توانایی قربانی برای شناسایی و کاهش تأثیر باج‌افزار می‌شود.

ادغام ماژول های باج افزار در محموله RedEnergy، همراه با رمزگذاری فایل ها، ارائه پیام باج و تغییر تصویر زمینه دسکتاپ، نیت مخرب و تاکتیک های پیشرفته به کار رفته توسط این تهدید را به نمایش می گذارد. حذف داده ها از درایو سایه با حذف راه های بالقوه برای بازیابی اطلاعات، شدت حمله را تشدید می کند. حفاظت از سیستم‌ها با اقدامات امنیتی قوی و حفظ نسخه‌های پشتیبان به‌روز در درایوهای خارجی یا فضای ابری برای کاهش خطرات ناشی از RedEnergy و تهدیدات بدافزار مشابه بسیار مهم است.