adlı gelişmiş bir fidye yazılımı olarak hırsız tehdidi kırmızı enerji LinkedIn sayfaları aracılığıyla Brezilya ve Filipinler’deki enerji hizmetleri, petrol, gaz, telekomünikasyon ve makine sektörlerini hedef alan çılgınca tespit edildi.
Zscaler araştırmacıları Shatak Jain ve Gurkirat Singh yakın tarihli bir analizde, kötü amaçlı yazılımın “çeşitli tarayıcılardan bilgi çalma yeteneğine sahip olduğunu, hassas verilerin dışarı sızmasını sağlarken aynı zamanda fidye yazılımı faaliyetlerini yürütmek için farklı modüller içerdiğini” söyledi.
Araştırmacıların belirttiği amaç, kurbanlara maksimum zarar vermek amacıyla veri hırsızlığını şifreleme ile birleştirmek.
Çok aşamalı saldırının başlangıç noktası, kullanıcıları web tarayıcı güncellemeleri kisvesi altında JavaScript tabanlı kötü amaçlı yazılım indirmeleri için kandıran bir FakeUpdates (diğer adıyla SocGholish) kampanyasıdır.
Onu yeni yapan şey, kurbanları hedeflemek için saygın LinkedIn sayfalarının kullanılması, web sitesi URL’lerini tıklayan kullanıcıları uygun simgeye (Google Chrome, Microsoft Edge, Mozilla Firefox) tıklayarak web tarayıcılarını güncellemelerini isteyen sahte bir açılış sayfasına yönlendiriyor. , veya Opera), bu da kötü amaçlı bir yürütülebilir dosyanın indirilmesine neden olur.
Başarılı bir ihlalin ardından, kötü amaçlı ikili dosya, kalıcılığı ayarlamak, gerçek tarayıcı güncellemesini gerçekleştirmek ve ayrıca hassas bilgileri gizlice toplayabilen ve çalınan dosyaları şifreleyerek kurbanları potansiyel veri kaybı riskiyle karşı karşıya bırakabilen bir hırsız bırakmak için bir kanal olarak kullanılır. , teşhir ve hatta değerli verilerinin satışı.
Zscaler, bir Dosya Aktarım Protokolü (FTP) bağlantısı üzerinden gerçekleşen şüpheli etkileşimleri keşfettiğini ve bunun da değerli verilerin aktör kontrollü altyapıya sızma olasılığını artırdığını söyledi.
Son aşamada, RedEnergy’nin fidye yazılımı bileşeni, “.FACKOFF!” her şifrelenmiş dosyaya uzantı, mevcut yedeklemeleri silme ve her klasöre bir fidye notu bırakma.
Kurbanların, dosyalara yeniden erişim kazanmak için notta belirtilen bir kripto para cüzdanına 0,005 BTC (yaklaşık 151 $) ödemesi bekleniyor. RedEnergy’nin hırsız ve fidye yazılımı olarak ikili işlevleri, siber suç ortamının bir evrimini temsil ediyor.
Geliştirme aynı zamanda, Venom RAT ve Anarchy Panel RAT gibi uzaktan erişim truva atlarının çeşitli dosya uzantılarını şifreleme engellerinin arkasına kilitlemek için fidye yazılımı modülleriyle donatıldığı yeni bir fidye yazılımı olarak RAT tehdit kategorisinin ortaya çıkışını takip ediyor.
Araştırmacılar, “Bireylerin ve kuruluşların, özellikle LinkedIn profillerinden bağlantı verilen web sitelerine erişirken azami dikkat göstermeleri çok önemlidir” dedi. “Tarayıcı güncellemelerinin gerçekliğini doğrulama konusunda dikkatli olmak ve beklenmedik dosya indirmelerine karşı dikkatli olmak, bu tür kötü amaçlı kampanyalara karşı korunmak için çok önemlidir.”