RedEnergy Stealer

RedEnergy는 기만적인 전술과 다각적인 기능으로 악명을 얻은 고도로 정교한 정보 도용자입니다. 이 위협적인 소프트웨어는 널리 사용되는 다양한 웹 브라우저에 대한 가짜 업데이트로 가장하여 영리하게 변장하여 광범위한 산업 부문을 대상으로 합니다. 이러한 모습을 악용하여 RedEnergy는 순진한 시스템에 침투하여 사악한 작업을 실행합니다.

RedEnergy의 주요 기능 중 하나는 다양한 웹 브라우저에서 민감한 정보를 추출하는 능력입니다. 이를 통해 맬웨어는 로그인 자격 증명, 개인 세부 정보 및 금융 정보와 같은 중요한 데이터를 검색할 수 있으므로 개인과 조직이 데이터 도난 및 개인 정보 침해의 심각한 위험에 처하게 됩니다. 여러 브라우저에서 정보를 수집하는 기능은 RedEnergy의 도달 범위와 잠재적 영향을 확장하여 사용자의 디지털 생활 보안에 강력한 위협이 됩니다.

또한 RedEnergy는 랜섬웨어 활동을 용이하게 하는 추가 모듈을 통합하여 정보 수집 기능을 넘어섭니다. 즉, 악성 코드는 귀중한 데이터를 유출하는 것 외에도 감염된 시스템의 파일을 암호화하고 이를 해제하기 위해 몸값을 요구할 가능성이 있습니다. RedEnergy의 이 이중 기능은 정보 도용과 랜섬웨어 배포 기능을 결합하여 'Stealer-as-a-Ransomware'라는 별개의 범주에 넣습니다.

RedEnergy Stealer는 합법적인 브라우저 업데이트로 가장합니다.

활성화 시 유해한 RedEnergy 실행 파일은 합법적인 브라우저 업데이트로 가장하여 실제 ID를 숨깁니다. RedEnergy는 Google Chrome, Microsoft Edge, Firefox 및 Opera와 같이 널리 사용되는 브라우저를 교묘하게 모방함으로써 순진한 사용자가 업데이트가 정품이고 신뢰할 수 있다고 믿게 만드는 것을 목표로 합니다.

사용자가 속아서 사기성 업데이트를 다운로드하고 실행하면 RedEnergy는 손상된 시스템에 총 4개의 파일을 저장합니다. 이러한 파일은 두 개의 임시 파일과 두 개의 실행 파일로 구성되며 그 중 하나는 안전하지 않은 페이로드 역할을 합니다. 동시에 멀웨어는 악성 페이로드를 나타내는 추가 백그라운드 프로세스를 시작하여 실행을 보장합니다. 이 페이로드가 해제되면 불행한 피해자에게 모욕적인 메시지를 표시하여 작업에 악의적인 의도를 추가합니다.

위협을 더욱 악화시키기 위해 RedEnergy는 지속성 메커니즘도 갖추고 있습니다. 이 메커니즘을 통해 사용자가 컴퓨터를 다시 시작하거나 종료한 후에도 맬웨어가 감염된 시스템에 남아 있을 수 있습니다. 이를 통해 RedEnergy의 지속적인 운영과 중단 없이 악의적인 활동을 수행할 수 있는 능력을 보장하여 공격의 영향과 지속성을 증폭시킵니다.

RedEnergy Stealer는 랜섬웨어 공격을 수행할 수 있습니다.

RedEnergy는 랜섬웨어 모듈을 페이로드에 통합하여 피해자의 귀중한 데이터를 암호화할 수 있습니다. 위협은 '.FACKOFF!'를 추가합니다. 모든 암호화된 파일의 이름에 대한 확장자입니다. 이 암호화는 파일에 액세스할 수 없게 만들고 피해자로부터 몸값을 추출하도록 강제하는 방법으로 사용됩니다. RedEnergy는 통제권을 더욱 위협하고 주장하기 위해 피해자에게 'read_it.txt'라는 제목의 몸값 메시지를 제시합니다. 이 메시지에는 암호 해독 키에 대한 대가로 지불 요구 사항이 요약되어 있습니다. 추가 전술로 이 랜섬웨어는 바탕 화면 배경 무늬를 변경하여 손상과 공격자의 요구를 준수해야 할 필요성을 시각적으로 상기시킵니다.

RedEnergy가 구현한 랜섬웨어 모듈은 피해자의 데이터 복구 능력을 방해하기 위한 끈질긴 탐색에서 또 다른 파괴적인 작업을 수행합니다. 그들은 사용자가 파일의 백업을 생성할 수 있도록 하는 Windows OS 내의 기능인 섀도우 드라이브를 대상으로 합니다. RedEnergy는 섀도 드라이브에서 데이터를 삭제함으로써 피해자가 암호화된 파일을 복원하는 데 도움이 될 수 있는 잠재적인 백업을 효과적으로 제거하여 몸값 요구를 준수해야 하는 긴급성과 압력을 강화합니다.

또한 RedEnergy와 관련된 안전하지 않은 실행 파일은 desktop.ini라는 중요한 구성 파일을 조작합니다. 이 파일은 모양 및 동작을 포함하여 파일 시스템 폴더에 대한 중요한 설정을 저장합니다. 이 조작을 통해 RedEnergy는 파일 시스템 폴더의 모양을 수정할 수 있는 기능을 획득하고 잠재적으로 이 기능을 활용하여 손상된 시스템에서 자신의 존재와 활동을 숨길 수 있습니다. RedEnergy는 desktop.ini 파일을 변조함으로써 악의적인 활동을 숨기고 피해자가 랜섬웨어의 영향을 감지하고 완화하는 능력을 방해하는 기만적인 환경을 만들 수 있습니다.

랜섬웨어 모듈을 RedEnergy의 페이로드에 통합하고 파일 암호화, 랜섬 메시지 표시, 바탕 화면 배경 변경과 결합하여 이 위협이 사용하는 악의적인 의도와 고급 전술을 보여줍니다. 섀도 드라이브에서 데이터를 삭제하면 잠재적인 데이터 복구 수단이 제거되어 공격의 심각성이 악화됩니다. 강력한 보안 조치로 시스템을 보호하고 외부 드라이브 또는 클라우드에서 최신 백업을 유지하는 것은 RedEnergy 및 유사한 맬웨어 위협으로 인한 위험을 완화하는 데 중요합니다.