RedEnergy Stealer

RedEnergy — це надзвичайно складна програма для викрадання інформації, яка здобула сумну популярність завдяки своїй тактиці обману та багатогранним можливостям. Це загрозливе програмне забезпечення вміло маскується, видаючи себе за підроблене оновлення для різноманітних популярних веб-браузерів, таким чином націлюючись на широкий спектр галузей промисловості. Використовуючи цей вигляд, RedEnergy вдається проникнути в нічого не підозрюючі системи та виконати свої мерзенні операції.

Однією з ключових функцій RedEnergy є його вміння отримувати конфіденційну інформацію з багатьох різних веб-браузерів. Це дозволяє зловмисному програмному забезпеченню отримувати такі цінні дані, як облікові дані для входу, особисті дані та фінансову інформацію, наражаючи окремих осіб і організації на значний ризик крадіжки даних і порушення конфіденційності. Здатність збирати інформацію в кількох браузерах розширює охоплення та потенційний вплив RedEnergy, що робить його серйозною загрозою для безпеки цифрового життя користувачів.

Крім того, RedEnergy виходить за рамки своїх можливостей збору інформації, додаючи додаткові модулі, які сприяють діяльності програм-вимагачів. Це означає, що окрім викрадання цінних даних, зловмисне програмне забезпечення може шифрувати файли в заражених системах і вимагати викуп за їх розповсюдження. Ця подвійна функціональність RedEnergy, яка поєднує крадіжку інформації з можливістю розгортання програм-вимагачів, поміщає її в окрему категорію, відому як «Програми-викрадачі як програми-вимагачі».

RedEnergy Stealer маскується під законне оновлення веб-переглядача

Після активації шкідливий виконуваний файл RedEnergy маскує свою справжню особу, видаючи себе за законне оновлення браузера. Вміло імітуючи такі популярні браузери, як Google Chrome, Microsoft Edge, Firefox і Opera, RedEnergy прагне змусити нічого не підозрюючих користувачів повірити в те, що оновлення справжнє та надійне.

Після того, як користувача обманом змусять завантажити та виконати оманливе оновлення, RedEnergy продовжує зберігати загалом чотири файли в скомпрометованій системі. Ці файли складаються з двох тимчасових файлів і двох виконуваних файлів, один з яких служить небезпечним корисним навантаженням. Одночасно зловмисне програмне забезпечення ініціює додатковий фоновий процес, який представляє зловмисне корисне навантаження, забезпечуючи його виконання. Коли це корисне навантаження вивільняється, воно відображає образливе повідомлення для нещасної жертви, додаючи додатковий рівень зловмисних намірів до своїх операцій.

Щоб ще більше посилити загрозу, RedEnergy також оснащено механізмом стійкості. Цей механізм дозволяє шкідливому програмному забезпеченню залишатися в зараженій системі навіть після того, як користувач перезавантажує або вимикає комп’ютер. Це забезпечує безперервну роботу RedEnergy і його здатність здійснювати зловмисні дії без перерв, посилюючи вплив і тривалість його атак.

RedEnergy Stealer здатний здійснювати атаки програм-вимагачів

RedEnergy включає модулі програм-вимагачів у своє корисне навантаження, що дозволяє шифрувати цінні дані жертви. Загроза додає ".FACKOFF!" розширення імен усіх зашифрованих файлів. Це шифрування робить файли недоступними та служить методом примусу для отримання викупу від жертви. Щоб ще більше залякати та встановити контроль, RedEnergy представляє жертві повідомлення про викуп під назвою «read_it.txt», у якому викладаються вимоги оплати в обмін на ключ розшифровки. Як додаткову тактику програма-вимагач змінює шпалери робочого столу, слугуючи візуальним нагадуванням про компрометацію та необхідність виконувати вимоги зловмисників.

У своєму невпинному прагненні порушити здатність жертви відновлювати свої дані, модулі програм-вимагачів, впроваджені RedEnergy, також беруть участь у іншій деструктивній дії. Вони націлені на тіньовий диск, функцію в ОС Windows, яка дозволяє користувачам створювати резервні копії своїх файлів. Видаляючи дані з тіньового диска, RedEnergy ефективно усуває будь-які потенційні резервні копії, які могли б допомогти жертві відновити її зашифровані файли, посилюючи терміновість і тиск для виконання вимог викупу.

Крім того, небезпечний виконуваний файл, пов’язаний із RedEnergy, маніпулює важливим конфігураційним файлом під назвою desktop.ini. У цьому файлі зберігаються критичні параметри для папок файлової системи, включаючи їх зовнішній вигляд і поведінку. Завдяки цій маніпуляції RedEnergy отримує можливість змінювати зовнішній вигляд папок файлової системи, потенційно використовуючи цю можливість для приховування своєї присутності та дій у скомпрометованій системі. Втручаючись у файл desktop.ini, RedEnergy може створити оманливе середовище, яке маскує його мерзенні дії та ще більше перешкоджає здатності жертви виявляти та пом’якшувати вплив програм-вимагачів.

Інтеграція модулів програм-вимагачів у корисне навантаження RedEnergy у поєднанні з шифруванням файлів, представленням повідомлення про викуп і зміною шпалер робочого столу демонструє зловмисні наміри та передову тактику, застосовану цією загрозою. Видалення даних із тіньового диска посилює серйозність атаки, усуваючи можливі шляхи відновлення даних. Захист систем за допомогою надійних заходів безпеки та підтримка актуальних резервних копій на зовнішніх дисках або в хмарі має вирішальне значення для пом’якшення ризиків, створених RedEnergy та подібними загрозами зловмисного програмного забезпечення.