RedEnergy Stealer
RedEnergy یک دزد اطلاعات بسیار پیچیده است که به دلیل تاکتیک های فریبنده و قابلیت های چند وجهی خود شهرت زیادی به دست آورده است. این نرمافزار تهدیدآمیز با ظاهر شدن بهعنوان یک بهروزرسانی جعلی برای مرورگرهای وب مختلف، پوششی هوشمندانه را به کار میگیرد و در نتیجه طیف وسیعی از بخشهای صنعت را هدف قرار میدهد. RedEnergy با بهرهبرداری از این پوشش موفق میشود به سیستمهای غیرمجاز نفوذ کند و عملیات پلید خود را اجرا کند.
یکی از قابلیت های کلیدی RedEnergy مهارت آن در استخراج اطلاعات حساس از چندین مرورگر وب مختلف است. این بدافزار را قادر میسازد تا دادههای ارزشمندی مانند اعتبار ورود، اطلاعات شخصی و اطلاعات مالی را بازیابی کند و افراد و سازمانها را در معرض خطر سرقت دادهها و نقض حریم خصوصی قرار دهد. توانایی جمعآوری اطلاعات در چندین مرورگر، دامنه و تأثیر بالقوه RedEnergy را افزایش میدهد و آن را به تهدیدی قوی برای امنیت زندگی دیجیتالی کاربران تبدیل میکند.
علاوه بر این، RedEnergy با ترکیب ماژولهای اضافی که فعالیتهای باجافزار را تسهیل میکنند، فراتر از قابلیتهای جمعآوری اطلاعات خود است. این بدان معناست که این بدافزار علاوه بر استخراج دادههای ارزشمند، پتانسیل رمزگذاری فایلها را در سیستمهای آلوده و درخواست باج برای انتشار آنها دارد. این عملکرد دوگانه RedEnergy، ترکیب سرقت اطلاعات با قابلیت استقرار باجافزار، آن را در دستهبندی متمایز به نام «Stealer-as-a-Ransomware» قرار میدهد.
RedEnergy Stealer به عنوان یک بهروزرسانی قانونی مرورگر معرفی میشود
پس از فعال سازی، فایل اجرایی مضر RedEnergy هویت واقعی خود را پنهان می کند و به عنوان یک به روز رسانی قانونی مرورگر ظاهر می شود. RedEnergy با تقلید هوشمندانه از مرورگرهای محبوب مانند گوگل کروم، مایکروسافت اج، فایرفاکس و اپرا، قصد دارد تا کاربران ناآگاه را باور کند که بهروزرسانی واقعی و قابل اعتماد است.
هنگامی که کاربر فریب خورد و بهروزرسانی فریبنده را دانلود و اجرا کرد، RedEnergy در مجموع چهار فایل را روی سیستم در معرض خطر قرار میدهد. این فایل ها از دو فایل موقت و دو فایل اجرایی تشکیل شده اند که یکی از آنها به عنوان محموله ناامن عمل می کند. به طور همزمان، بدافزار یک فرآیند پسزمینه اضافی را آغاز میکند که نشاندهنده بار مخرب است و اجرای آن را تضمین میکند. هنگامی که این محموله آزاد می شود، پیامی توهین آمیز به قربانی نگون بخت نشان می دهد و لایه دیگری از قصد مخرب به عملیات خود اضافه می کند.
برای تشدید بیشتر تهدید، RedEnergy همچنین به مکانیزم پایداری مجهز شده است. این مکانیسم به بدافزار اجازه میدهد حتی پس از راهاندازی مجدد یا خاموش کردن رایانه توسط کاربر، روی سیستم آلوده باقی بماند. این امر عملکرد مداوم RedEnergy و توانایی آن را برای انجام فعالیت های مخرب بدون وقفه تضمین می کند و تأثیر و طول عمر حملات آن را تقویت می کند.
RedEnergy Stealer قادر به انجام حملات باج افزار است
RedEnergy ماژولهای باجافزار را در محموله خود قرار میدهد و به آن امکان میدهد دادههای ارزشمند قربانی را رمزگذاری کند. تهدید ".FACKOFF!" را اضافه می کند. پسوند نام تمام فایل های رمزگذاری شده این رمزگذاری فایل ها را غیرقابل دسترسی می کند و به عنوان روشی برای اجبار برای استخراج باج از قربانی عمل می کند. برای ارعاب بیشتر و اعمال کنترل، RedEnergy یک پیام باج به قربانی با عنوان 'read_it.txt' ارائه میکند که درخواستهای پرداخت در ازای کلید رمزگشایی را مشخص میکند. به عنوان یک تاکتیک اضافی، باجافزار تصویر زمینه دسکتاپ را تغییر میدهد و به عنوان یادآوری بصری مصالحه و نیاز به تبعیت از خواستههای مهاجمان عمل میکند.
ماژولهای باجافزاری که توسط RedEnergy پیادهسازی شدهاند، در تلاش بیوقفه خود برای مختل کردن توانایی قربانی برای بازیابی دادههای خود، اقدام مخرب دیگری نیز انجام میدهند. آنها درایو سایه را هدف قرار می دهند، یک ویژگی در سیستم عامل ویندوز که به کاربران اجازه می دهد از فایل های خود نسخه پشتیبان تهیه کنند. با حذف دادهها از درایو سایه، RedEnergy به طور موثر هر گونه نسخه پشتیبان بالقوهای را که میتواند به قربانی در بازیابی فایلهای رمزگذاری شدهاش کمک کند، حذف میکند و فوریت و فشار را برای مطابقت با درخواستهای باج تشدید میکند.
علاوه بر این، فایل اجرایی ناامن مرتبط با RedEnergy یک فایل پیکربندی مهم به نام desktop.ini را دستکاری می کند. این فایل تنظیمات حیاتی پوشه های سیستم فایل، از جمله ظاهر و رفتار آنها را ذخیره می کند. از طریق این دستکاری، RedEnergy این قابلیت را به دست می آورد که ظاهر پوشه های سیستم فایل را تغییر دهد و به طور بالقوه از این توانایی برای پنهان کردن حضور و فعالیت های خود در سیستم در معرض خطر استفاده کند. با دستکاری در فایل desktop.ini، RedEnergy میتواند یک محیط فریبنده ایجاد کند که اعمال پلید خود را پنهان میکند و مانع از توانایی قربانی برای شناسایی و کاهش تأثیر باجافزار میشود.
ادغام ماژول های باج افزار در محموله RedEnergy، همراه با رمزگذاری فایل ها، ارائه پیام باج و تغییر تصویر زمینه دسکتاپ، نیت مخرب و تاکتیک های پیشرفته به کار رفته توسط این تهدید را به نمایش می گذارد. حذف داده ها از درایو سایه با حذف راه های بالقوه برای بازیابی اطلاعات، شدت حمله را تشدید می کند. حفاظت از سیستمها با اقدامات امنیتی قوی و حفظ نسخههای پشتیبان بهروز در درایوهای خارجی یا فضای ابری برای کاهش خطرات ناشی از RedEnergy و تهدیدات بدافزار مشابه بسیار مهم است.