一种复杂的被称为RedEnergy的偷窃者-勒索软件威胁在野外被发现,通过LinkedIn页面针对巴西和菲律宾的能源公用事业、石油、天然气、电信和机械行业。
这款.NET恶意软件“拥有从各种浏览器中窃取信息的能力,使敏感数据的外泄成为可能,同时还融入了不同的模块以执行勒索软件活动,"Zscaler研究员Shatak Jain和Gurkirat Singh在最近的分析中说。
研究人员指出,目标是将数据盗窃与加密结合起来,以对受害者造成最大的伤害。
这场多阶段攻击的起点是一个FakeUpdates(也称为SocGholish)活动,该活动诱骗用户以网页浏览器更新的名义下载基于JavaScript的恶意软件。
这种方法的新颖之处在于使用知名的LinkedIn页面来定位受害者,将点击网站URL的用户重定向到一个假的登陆页面,该页面提示他们通过点击适当的图标(Google Chrome、Microsoft Edge、Mozilla Firefox或Opera)更新他们的网页浏览器,这样做会导致下载一个恶意可执行文件。
在成功侵入后,恶意二进制文件被用作一种管道来建立持久性,执行实际的浏览器更新,并且还会放置一个能够秘密收集敏感信息并加密被盗文件的窃取器,使受害者面临可能的数据丢失、暴露或甚至是他们的有价值数据的销售的风险。
Zscaler表示,它发现在文件传输协议(FTP)连接上发生了可疑的交互,这增加了有价值数据正在被外泄到由攻击者控制的基础设施的可能性。
在最后的阶段,RedEnergy的勒索软件组件开始加密用户的数据,为每个加密的文件添加".FACKOFF!"扩展名,删除现有的备份,并在每个文件夹中放置一份勒索通知。
受害者需要向通知中提到的加密货币钱包支付0.005 BTC(约151美元)以恢复对文件的访问。RedEnergy作为窃取者和勒索软件的双重功能代表了网络犯罪景观的演变。
这一发展也随着新的RAT-as-a-ransomware威胁类别的出现,其中远程访问木马如Venom RAT和Anarchy Panel RAT已经配备了勒索软件模块,以加密阻止各种文件扩展名。
“个人和组织在访问网站时,特别是从LinkedIn个人资料链接的网站时,必须非常谨慎,”研究人员说。“验证浏览器更新的真实性并警惕意外的文件下载至关重要,以防止这样的恶意活动。”
原文始发于微信公众号(XDsecurity):威胁情报信息分享|针对能源和电信行业的RedEnergy偷窃者-勒索软件威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论