RedEnergy Stealer

RedEnergy הוא גנב מידע מתוחכם ביותר שזכה לשמצה בזכות הטקטיקות המטעות והיכולות הרב-גוניות שלו. התוכנה המאיימת הזו מאמצת תחפושת חכמה בכך שהיא מתחזה לעדכון מזויף עבור דפדפני אינטרנט פופולריים שונים, ובכך מכוונת למגוון רחב של מגזרים בתעשייה. על ידי ניצול המסווה הזה, RedEnergy מצליחה לחדור למערכות תמימות ולבצע את פעולותיה המרושעות.

אחת הפונקציות המרכזיות של RedEnergy היא מיומנותה בחילוץ מידע רגיש מדפדפני אינטרנט שונים. זה מאפשר לתוכנה הזדונית לאחזר נתונים יקרי ערך כגון אישורי התחברות, פרטים אישיים ומידע פיננסי, מה שמציב אנשים וארגונים בסיכון משמעותי לגניבת נתונים והפרות פרטיות. היכולת לאסוף מידע על פני מספר דפדפנים מרחיבה את טווח ההגעה וההשפעה הפוטנציאלית של RedEnergy, מה שהופך אותה לאיום חזק על אבטחת חייהם הדיגיטליים של המשתמשים.

יתרה מכך, RedEnergy חורגת מיכולות איסוף המידע שלה על ידי שילוב מודולים נוספים המאפשרים פעילויות כופר. משמעות הדבר היא שבנוסף לסינון נתונים יקרי ערך, לתוכנה הזדונית יש פוטנציאל להצפין קבצים במערכות הנגועות ולדרוש כופר עבור שחרורם. הפונקציונליות הכפולה הזו של RedEnergy, המשלבת גניבת מידע עם היכולת לפרוס תוכנות כופר, ממקמת אותה בקטגוריה מובחנת המכונה 'גנב-כ-Ransomware'.

RedEnergy Stealer מתחזה לעדכון דפדפן לגיטימי

עם ההפעלה, קובץ ההפעלה המזיק RedEnergy מסווה את זהותו האמיתית, ומתחזה לעדכון דפדפן לגיטימי. על ידי חיקוי חכם של דפדפנים פופולריים, כגון Google Chrome, Microsoft Edge, Firefox ו-Opera, RedEnergy שואפת לגרום למשתמשים תמימים להאמין שהעדכון הוא אמיתי ואמין.

ברגע שהמשתמש הוטעה להוריד ולבצע את העדכון המטעה, RedEnergy ממשיכה להפקיד ארבעה קבצים בסך הכל למערכת שנפרצה. קבצים אלה מורכבים משני קבצים זמניים ושני קובצי הפעלה, כאשר אחד מהם משמש כמטען לא בטוח. במקביל, התוכנה הזדונית יוזמת תהליך רקע נוסף המייצג את המטען הזדוני, ומבטיח את ביצועו. כאשר מטען זה משתחרר, הוא מציג מסר מעליב לקורבן האומלל, ומוסיף שכבה נוספת של כוונת זדון לפעולותיו.

כדי להחמיר עוד יותר את האיום, RedEnergy מצוידת גם במנגנון התמדה. מנגנון זה מאפשר לתוכנה הזדונית להישאר במערכת הנגועה גם לאחר שהמשתמש מפעיל מחדש או מכבה את המחשב. זה מבטיח את הפעולה הרציפה של RedEnergy ואת יכולתה לבצע פעילויות זדוניות ללא הפרעה, מה שמגביר את ההשפעה ואת אורך החיים של ההתקפות שלה.

RedEnergy Stealer מסוגל לבצע התקפות כופר

RedEnergy משלבת מודולים של תוכנת כופר במטען שלה, מה שמאפשר לה להצפין את הנתונים היקרים של הקורבן. האיום מוסיף את ה-'.FACKOFF!' הרחבה לשמות של כל הקבצים המוצפנים. הצפנה זו הופכת את הקבצים לבלתי נגישים ומשמשת כשיטת כפייה לחילוץ כופר מהקורבן. כדי להפחיד ולהבטיח שליטה נוספת, RedEnergy מציגה בפני הקורבן הודעת כופר שכותרתה 'read_it.txt', המתארת את דרישות התשלום בתמורה למפתח הפענוח. כטקטיקה נוספת, תוכנת הכופר משנה את טפט שולחן העבודה, ומשמשת כתזכורת ויזואלית לפשרה ולצורך להיענות לדרישות התוקפים.

במסעו הבלתי פוסק לשבש את יכולתו של הקורבן לשחזר את הנתונים שלו, מודולי תוכנת הכופר המיושמים על ידי RedEnergy עוסקים גם בפעולה הרסנית נוספת. הם מכוונים לכונן הצללים, תכונה במערכת ההפעלה Windows המאפשרת למשתמשים ליצור גיבויים של הקבצים שלהם. על ידי מחיקת נתונים מכונן הצללים, RedEnergy מבטלת למעשה כל גיבוי פוטנציאלי שיכול לסייע לקורבן בשחזור הקבצים המוצפנים שלו, מה שמגביר את הדחיפות והלחץ להיענות לדרישות הכופר.

יתר על כן, קובץ ההפעלה הלא בטוח המשויך ל-RedEnergy מפעיל מניפולציות על קובץ תצורה חשוב בשם desktop.ini. קובץ זה מאחסן הגדרות קריטיות עבור תיקיות של מערכת הקבצים, כולל המראה וההתנהגות שלהן. באמצעות מניפולציה זו, RedEnergy משיגה את היכולת לשנות את המראה של תיקיות של מערכת הקבצים, תוך ניצול פוטנציאלי של יכולת זו כדי להסתיר את נוכחותה ופעילויותיה במערכת שנפרצה. על ידי התעסקות בקובץ desktop.ini, RedEnergy יכולה ליצור סביבה מטעה המסווה את פעולותיה המרושעות ומעכבת עוד יותר את יכולתו של הקורבן לזהות ולהפחית את השפעת תוכנת הכופר.

השילוב של מודולי תוכנת כופר במטען של RedEnergy, יחד עם הצפנת קבצים, הצגת הודעת כופר ושינוי טפט שולחן העבודה, מציגים את כוונת הזדון ואת הטקטיקות המתקדמות של האיום הזה. מחיקת הנתונים מכונן הצל מחמירה את חומרת המתקפה על ידי ביטול אפיקים פוטנציאליים לשחזור נתונים. שמירה על מערכות באמצעות אמצעי אבטחה חזקים ושמירה על גיבויים עדכניים בכוננים חיצוניים או בענן היא חיונית כדי להפחית את הסיכונים הנשקפים מ-RedEnergy ואיומי תוכנות זדוניות דומות.