Giảm giá nhiều giấy phép
Threat Database Malware RedEnergy Stealer

RedEnergy Stealer

Đến năm Mezo năm Malware, Ransomware, Stealers
Dịch sang:
Tiếng Việt Nam

RedEnergy là một kẻ đánh cắp thông tin cực kỳ tinh vi, nổi tiếng với các chiến thuật lừa đảo và khả năng đa diện của nó. Phần mềm đe dọa này ngụy trang thông minh bằng cách đóng giả một bản cập nhật giả mạo cho nhiều trình duyệt Web phổ biến khác nhau, do đó nhắm mục tiêu vào nhiều lĩnh vực công nghiệp. Bằng cách khai thác chiêu bài này, RedEnergy quản lý để xâm nhập vào các hệ thống không nghi ngờ và thực hiện các hoạt động bất chính của nó.

Một trong những chức năng chính của RedEnergy là khả năng trích xuất thông tin nhạy cảm từ nhiều trình duyệt web khác nhau. Điều này cho phép phần mềm độc hại truy xuất dữ liệu có giá trị như thông tin đăng nhập, chi tiết cá nhân và thông tin tài chính, khiến các cá nhân và tổ chức có nguy cơ bị đánh cắp dữ liệu và vi phạm quyền riêng tư. Khả năng thu thập thông tin trên nhiều trình duyệt giúp mở rộng phạm vi tiếp cận và tác động tiềm ẩn của RedEnergy, khiến nó trở thành mối đe dọa tiềm ẩn đối với sự an toàn trong cuộc sống số của người dùng.

Hơn nữa, RedEnergy vượt xa khả năng thu thập thông tin của nó bằng cách kết hợp các mô-đun bổ sung tạo điều kiện thuận lợi cho các hoạt động của phần mềm tống tiền. Điều này có nghĩa là, ngoài việc lấy cắp dữ liệu có giá trị, phần mềm độc hại này còn có khả năng mã hóa các tệp trên hệ thống bị nhiễm và yêu cầu tiền chuộc để phát hành chúng. Chức năng kép này của RedEnergy, kết hợp đánh cắp thông tin với khả năng triển khai phần mềm tống tiền, xếp nó vào một danh mục riêng biệt được gọi là 'Phần mềm ăn cắp dưới dạng Ransomware'.

RedEnergy Stealer giả dạng một bản cập nhật trình duyệt hợp pháp

Sau khi kích hoạt, tệp thực thi RedEnergy có hại sẽ che giấu danh tính thực của nó, đóng giả là một bản cập nhật trình duyệt hợp pháp. Bằng cách bắt chước một cách khéo léo các trình duyệt phổ biến, chẳng hạn như Google Chrome, Microsoft Edge, Firefox và Opera, RedEnergy nhằm mục đích khiến người dùng cả tin tin rằng bản cập nhật là chính hãng và đáng tin cậy.

Sau khi người dùng bị lừa tải xuống và thực thi bản cập nhật lừa đảo, RedEnergy sẽ tiến hành gửi tổng cộng bốn tệp vào hệ thống bị xâm nhập. Các tệp này bao gồm hai tệp tạm thời và hai tệp thực thi, với một trong số chúng đóng vai trò là tải trọng không an toàn. Đồng thời, phần mềm độc hại khởi tạo một quy trình nền bổ sung đại diện cho tải trọng độc hại, đảm bảo quá trình thực thi. Khi tải trọng này được giải phóng, nó sẽ hiển thị một thông báo xúc phạm tới nạn nhân không may mắn, thêm một lớp mục đích xấu bổ sung vào hoạt động của nó.

Để làm trầm trọng thêm mối đe dọa, RedEnergy cũng được trang bị cơ chế kiên trì. Cơ chế này cho phép phần mềm độc hại vẫn còn trên hệ thống bị nhiễm ngay cả sau khi người dùng khởi động lại hoặc tắt máy tính. Điều này đảm bảo hoạt động liên tục của RedEnergy và khả năng thực hiện các hoạt động độc hại mà không bị gián đoạn, khuếch đại tác động và tuổi thọ của các cuộc tấn công.

RedEnergy Stealer có khả năng thực hiện các cuộc tấn công ransomware

RedEnergy kết hợp các mô-đun ransomware vào tải trọng của nó, cho phép nó mã hóa dữ liệu có giá trị của nạn nhân. Mối đe dọa gắn thêm '.FACKOFF!' phần mở rộng cho tên của tất cả các tệp được mã hóa. Mã hóa này làm cho các tệp không thể truy cập được và phục vụ như một phương pháp ép buộc để lấy tiền chuộc từ nạn nhân. Để tiếp tục đe dọa và khẳng định quyền kiểm soát, RedEnergy đưa cho nạn nhân một thông báo đòi tiền chuộc có tiêu đề 'read_it.txt', trong đó nêu rõ các yêu cầu thanh toán để đổi lấy khóa giải mã. Là một chiến thuật bổ sung, phần mềm tống tiền làm thay đổi hình nền máy tính, đóng vai trò như một lời nhắc nhở trực quan về sự thỏa hiệp và sự cần thiết phải tuân thủ các yêu cầu của kẻ tấn công.

Trong nỗ lực không ngừng nhằm phá vỡ khả năng khôi phục dữ liệu của nạn nhân, các mô-đun ransomware do RedEnergy triển khai cũng tham gia vào một hành động phá hoại khác. Chúng nhắm mục tiêu ổ đĩa ẩn, một tính năng trong HĐH Windows cho phép người dùng tạo bản sao lưu các tệp của họ. Bằng cách xóa dữ liệu khỏi ổ đĩa ẩn, RedEnergy loại bỏ hiệu quả bất kỳ bản sao lưu tiềm năng nào có thể hỗ trợ nạn nhân khôi phục các tệp được mã hóa của họ, tăng cường tính cấp bách và áp lực phải tuân thủ các yêu cầu về tiền chuộc.

Ngoài ra, tệp thực thi không an toàn được liên kết với RedEnergy thao túng một tệp cấu hình quan trọng có tên là desktop.ini. Tệp này lưu trữ các cài đặt quan trọng cho các thư mục hệ thống tệp, bao gồm cả giao diện và hành vi của chúng. Thông qua thao tác này, RedEnergy có khả năng sửa đổi giao diện của các thư mục hệ thống tệp, có khả năng sử dụng khả năng này để che giấu sự hiện diện và hoạt động của nó trên hệ thống bị xâm nhập. Bằng cách giả mạo tệp desktop.ini, RedEnergy có thể tạo ra một môi trường lừa đảo che đậy các hành động bất chính của nó và cản trở khả năng của nạn nhân trong việc phát hiện và giảm thiểu tác động của phần mềm tống tiền.

Việc tích hợp các mô-đun ransomware vào tải trọng của RedEnergy, cùng với việc mã hóa các tệp, hiển thị thông báo đòi tiền chuộc và thay đổi hình nền máy tính, cho thấy ý định độc hại và chiến thuật nâng cao được sử dụng bởi mối đe dọa này. Việc xóa dữ liệu khỏi ổ đĩa ẩn làm trầm trọng thêm mức độ nghiêm trọng của cuộc tấn công bằng cách loại bỏ các phương thức phục hồi dữ liệu tiềm năng. Bảo vệ hệ thống bằng các biện pháp bảo mật mạnh mẽ và duy trì bản sao lưu cập nhật trên ổ đĩa ngoài hoặc đám mây là rất quan trọng để giảm thiểu rủi ro do RedEnergy và các mối đe dọa phần mềm độc hại tương tự gây ra.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...