RedEnergy Stealer

RedEnergy — это сложнейший похититель информации, получивший известность благодаря своей мошеннической тактике и многогранным возможностям. Это угрожающее программное обеспечение искусно маскируется, выдавая себя за поддельное обновление для различных популярных веб-браузеров, тем самым нацеливаясь на широкий спектр отраслей промышленности. Используя эту маскировку, RedEnergy удается проникать в ничего не подозревающие системы и выполнять свои гнусные операции.

Одной из ключевых функций RedEnergy является его умение извлекать конфиденциальную информацию из множества различных веб-браузеров. Это позволяет вредоносным программам извлекать ценные данные, такие как учетные данные для входа в систему, личные данные и финансовую информацию, подвергая отдельных лиц и организации значительному риску кражи данных и нарушения конфиденциальности. Возможность собирать информацию в нескольких браузерах расширяет охват и потенциальное влияние RedEnergy, что делает его серьезной угрозой безопасности цифровой жизни пользователей.

Более того, RedEnergy выходит за рамки своих возможностей по сбору информации, добавляя дополнительные модули, облегчающие действия программ-вымогателей. Это означает, что помимо эксфильтрации ценных данных вредоносное ПО может шифровать файлы на зараженных системах и требовать выкуп за их разглашение. Эта двойная функциональность RedEnergy, сочетающая кражу информации с возможностью развертывания программ-вымогателей, помещает ее в отдельную категорию, известную как «Похитители как программы-вымогатели».

RedEnergy Stealer маскируется под законное обновление браузера

После активации вредоносный исполняемый файл RedEnergy маскирует свою истинную личность, выдавая себя за законное обновление браузера. Умело имитируя популярные браузеры, такие как Google Chrome, Microsoft Edge, Firefox и Opera, RedEnergy стремится заставить ничего не подозревающих пользователей поверить в то, что обновление является подлинным и заслуживающим доверия.

После того, как пользователя обманом заставили загрузить и выполнить обманчивое обновление, RedEnergy продолжает размещать в общей сложности четыре файла на скомпрометированной системе. Эти файлы состоят из двух временных файлов и двух исполняемых файлов, один из которых служит небезопасной полезной нагрузкой. Одновременно вредоносная программа инициирует дополнительный фоновый процесс, представляющий вредоносную полезную нагрузку, обеспечивая ее выполнение. Когда эта полезная нагрузка высвобождается, она отображает оскорбительное сообщение для несчастной жертвы, добавляя дополнительный уровень злого умысла к своим операциям.

Чтобы еще больше усугубить угрозу, RedEnergy также оснащен механизмом сохранения. Этот механизм позволяет вредоносным программам оставаться в зараженной системе даже после того, как пользователь перезагрузит или выключит компьютер. Это обеспечивает непрерывную работу RedEnergy и ее способность выполнять вредоносные действия без перерыва, усиливая воздействие и продолжительность своих атак.

RedEnergy Stealer способен выполнять атаки программ-вымогателей

RedEnergy включает модули программ-вымогателей в свою полезную нагрузку, что позволяет шифровать ценные данные жертвы. Угроза добавляет «.FACKOFF!» расширение имен всех зашифрованных файлов. Это шифрование делает файлы недоступными и служит методом принуждения для получения выкупа от жертвы. Чтобы еще больше запугать и установить контроль, RedEnergy представляет жертве сообщение с требованием выкупа под названием «read_it.txt», в котором изложены требования об оплате в обмен на ключ дешифрования. В качестве дополнительной тактики программа-вымогатель меняет обои рабочего стола, что служит визуальным напоминанием о компрометации и необходимости выполнять требования злоумышленников.

В своем неустанном стремлении нарушить способность жертвы восстанавливать свои данные модули программ-вымогателей, реализованные RedEnergy, также участвуют в другом разрушительном действии. Они нацелены на теневой диск — функцию в ОС Windows, которая позволяет пользователям создавать резервные копии своих файлов. Удаляя данные с теневого диска, RedEnergy эффективно устраняет любые потенциальные резервные копии, которые могли бы помочь жертве восстановить свои зашифрованные файлы, усиливая срочность и необходимость выполнения требований о выкупе.

Более того, небезопасный исполняемый файл, связанный с RedEnergy, манипулирует важным файлом конфигурации, который называется desktop.ini. В этом файле хранятся важные настройки папок файловой системы, включая их внешний вид и поведение. Благодаря этой манипуляции RedEnergy получает возможность изменять внешний вид папок файловой системы, потенциально используя эту возможность, чтобы скрыть свое присутствие и действия в скомпрометированной системе. Подменяя файл desktop.ini, RedEnergy может создать вводящую в заблуждение среду, которая маскирует его гнусные действия и еще больше ограничивает способность жертвы обнаруживать и смягчать воздействие программ-вымогателей.

Интеграция модулей программы-вымогателя в полезную нагрузку RedEnergy в сочетании с шифрованием файлов, представлением сообщения о выкупе и изменением обоев рабочего стола демонстрирует злонамеренные намерения и передовые тактики, используемые этой угрозой. Удаление данных с теневого диска усугубляет серьезность атаки, устраняя потенциальные возможности для восстановления данных. Защита систем с помощью надежных мер безопасности и поддержание актуальных резервных копий на внешних дисках или в облаке имеет решающее значение для снижения рисков, связанных с RedEnergy и аналогичными вредоносными программами.