RedEnergy Stealer
RedEnergy est un voleur d'informations hautement sophistiqué qui a acquis une notoriété pour ses tactiques trompeuses et ses capacités à multiples facettes. Ce logiciel menaçant adopte un déguisement intelligent en se faisant passer pour une fausse mise à jour pour divers navigateurs Web populaires, ciblant ainsi un large éventail de secteurs industriels. En exploitant cette apparence, RedEnergy parvient à infiltrer des systèmes sans méfiance et à exécuter ses opérations néfastes.
L'une des fonctionnalités clés de RedEnergy est sa capacité à extraire des informations sensibles de nombreux navigateurs Web différents. Cela permet au logiciel malveillant de récupérer des données précieuses telles que les identifiants de connexion, les informations personnelles et les informations financières, ce qui expose les individus et les organisations à un risque important de vol de données et de violation de la vie privée. La capacité de collecter des informations sur plusieurs navigateurs étend la portée et l'impact potentiel de RedEnergy, ce qui en fait une menace puissante pour la sécurité de la vie numérique des utilisateurs.
De plus, RedEnergy va au-delà de ses capacités de collecte d'informations en incorporant des modules supplémentaires qui facilitent les activités de ransomware. Cela signifie qu'en plus d'exfiltrer des données précieuses, le logiciel malveillant a le potentiel de crypter des fichiers sur les systèmes infectés et d'exiger une rançon pour leur diffusion. Cette double fonctionnalité de RedEnergy, combinant le vol d'informations avec la possibilité de déployer un ransomware, le place dans une catégorie distincte connue sous le nom de "Stealer-as-a-Ransomware".
Le RedEnergy Stealer se fait passer pour une mise à jour légitime du navigateur
Lors de l'activation, l'exécutable RedEnergy nuisible masque sa véritable identité, se faisant passer pour une mise à jour légitime du navigateur. En imitant intelligemment les navigateurs populaires, tels que Google Chrome, Microsoft Edge, Firefox et Opera, RedEnergy vise à faire croire aux utilisateurs sans méfiance que la mise à jour est authentique et digne de confiance.
Une fois que l'utilisateur est amené à télécharger et à exécuter la mise à jour trompeuse, RedEnergy procède au dépôt d'un total de quatre fichiers sur le système compromis. Ces fichiers se composent de deux fichiers temporaires et de deux exécutables, l'un d'eux servant de charge utile non sécurisée. Simultanément, le logiciel malveillant lance un processus d'arrière-plan supplémentaire qui représente la charge utile malveillante, assurant son exécution. Lorsque cette charge utile est libérée, elle affiche un message insultant pour la malheureuse victime, ajoutant une couche supplémentaire d'intention malveillante à ses opérations.
Pour aggraver encore la menace, RedEnergy est également équipé d'un mécanisme de persistance. Ce mécanisme permet au logiciel malveillant de rester sur le système infecté même après que l'utilisateur a redémarré ou éteint l'ordinateur. Cela garantit le fonctionnement continu de RedEnergy et sa capacité à mener des activités malveillantes sans interruption, amplifiant l'impact et la longévité de ses attaques.
RedEnergy Stealer est capable de mener des attaques de ransomware
RedEnergy intègre des modules de ransomware dans sa charge utile, lui permettant de chiffrer les données précieuses de la victime. La menace ajoute le '.FACKOFF!' extension aux noms de tous les fichiers cryptés. Ce cryptage rend les fichiers inaccessibles et sert de méthode de coercition pour extraire une rançon de la victime. Pour intimider davantage et affirmer le contrôle, RedEnergy présente à la victime un message de rançon intitulé "read_it.txt", qui décrit les demandes de paiement en échange de la clé de déchiffrement. Comme tactique supplémentaire, le ransomware modifie le fond d'écran du bureau, servant de rappel visuel du compromis et de la nécessité de se conformer aux exigences des attaquants.
Dans sa quête incessante pour perturber la capacité de la victime à récupérer ses données, les modules de ransomware mis en œuvre par RedEnergy s'engagent également dans une autre action destructrice. Ils ciblent le lecteur fantôme, une fonctionnalité du système d'exploitation Windows qui permet aux utilisateurs de créer des sauvegardes de leurs fichiers. En supprimant les données du lecteur fantôme, RedEnergy élimine efficacement toutes les sauvegardes potentielles qui pourraient aider la victime à restaurer ses fichiers cryptés, intensifiant l'urgence et la pression pour se conformer aux demandes de rançon.
De plus, l'exécutable dangereux associé à RedEnergy manipule un fichier de configuration important appelé desktop.ini. Ce fichier stocke les paramètres critiques des dossiers du système de fichiers, y compris leur apparence et leur comportement. Grâce à cette manipulation, RedEnergy obtient la capacité de modifier l'apparence des dossiers du système de fichiers, en utilisant potentiellement cette capacité pour dissimuler sa présence et ses activités sur le système compromis. En altérant le fichier desktop.ini, RedEnergy peut créer un environnement trompeur qui masque ses actions néfastes et entrave davantage la capacité de la victime à détecter et à atténuer l'impact du ransomware.
L'intégration de modules de ransomware dans la charge utile de RedEnergy, associée au cryptage des fichiers, à la présentation d'un message de rançon et à la modification du fond d'écran du bureau, met en évidence l'intention malveillante et les tactiques avancées employées par cette menace. La suppression des données du lecteur fantôme aggrave la gravité de l'attaque en éliminant les voies potentielles de récupération des données. La protection des systèmes avec des mesures de sécurité robustes et le maintien de sauvegardes à jour sur des disques externes ou le cloud sont essentiels pour atténuer les risques posés par RedEnergy et les menaces de logiciels malveillants similaires.
