RedEnergy – Un nouveau voleur hybride en tant que rançongiciel

Récemment, les analystes en cybersécurité de Zscaler ont découvert une nouvelle variante de logiciel malveillant, RedEnergy, une nouvelle menace hybride de type « Stealer-as-a-Ransomware » (voleur en tant que rançongiciel).

cybercare_RedEnergy

RedEnergy stealer cible les industries par le biais de fausses mises à jour, de vols de données dans les navigateurs, d’exfiltration d’informations sensibles et d’utilisation de modules de ransomware.

La dernière détection du voleur RedEnergy dévoile un puissant mélange de vol furtif de données et de chiffrement conçu pour causer des dommages considérables et établir un contrôle total sur ses cibles.

Grâce à une campagne trompeuse de FAKEUPDATES, la variante du Stealer-as-a-Ransomware incite les utilisateurs à mettre rapidement à jour leur navigateur.

Après avoir infiltré le système, cette variante malveillante extrait les données et crypte les fichiers, exposant ainsi les victimes à un risque de perte de données, d’exposition ou de vente d’informations précieuses.

Zscaler a découvert un voleur de RedEnergy ciblant l’entreprise philippine Industrial Machinery Manufacturing Company et d’autres secteurs ayant des pages LinkedIn bien en vue.

Les informations essentielles sur l’entreprise et les liens vers les sites web de ces pages attirent les cybercriminels et la technique de redirection trompeuse utilisée dans cette campagne de menaces.

Ils sont incités à installer une fausse mise à jour de navigateur déguisée en quatre icônes de navigateur différentes et, au lieu de cela, ils téléchargent involontairement le fichier exécutable RedStealer.

Quelle que soit l’icône du navigateur sur laquelle ils cliquent, les utilisateurs sont redirigés vers une URL.

Cette URL déclenche principalement le téléchargement d’un composant de la charge utile malveillante, à savoir « setupbrowser.exe ».

La campagne de menaces utilise un domaine de téléchargement trompeur, www[.]igrejaatos2[.]org, prétendant être un site « ChatGPT ».

Ce site piège les victimes et leur fait télécharger la fausse version hors ligne du « ChatGPT ».

Ici, à ce stade, les victimes obtiennent le même exécutable malveillant déguisé en fichier zip ChatGpt.

Outre la campagne de menaces contre la Philippines Industrial Machinery Manufacturing Company, les recherches approfondies de Zscaler ont révélé d’autres campagnes FAKEUPDATES.

Ces campagnes présentent des caractéristiques et des techniques communes, ce qui laisse penser qu’il s’agit d’un effort coordonné de la part des cybercriminels.

Une campagne usurpant l’identité d’une grande société de télécommunications brésilienne procède de la même manière que la précédente. Les victimes sont dirigées vers la même page web et téléchargent ensuite le même fichier exécutable.

Cette observation suggère que les attaquants réutilisent couramment l’infrastructure et les tactiques, dans l’intention de produire des effets plus importants et d’accroître leurs profits.

Pour éviter la détection et rendre l’analyse plus difficile, l’auteur de ce logiciel malveillant obscurcit délibérément le fichier .NET sophistiqué.

En utilisant HTTPS, le logiciel malveillant établit une communication chiffrée et obscurcie avec les serveurs de commande et de contrôle, ce qui permet d’améliorer les techniques de chiffrement et d’obscurcissement.

La chaîne d’infection complète comprend trois étapes différentes, qui sont mentionnées ci-dessous :- le processus d’infection est un processus d’apprentissage.

La dernière charge utile de la chaîne d’infection contient une note de rançon appelée « read_it.txt ». Cette note est laissée par les acteurs de la menace dans tous les dossiers cryptés, informant les utilisateurs de la rançon exigée pour la libération des fichiers.

D’après l’analyse de Zscaler, il est clair que les industries et les organisations sont confrontées à des cybermenaces hautement sophistiquées et en constante évolution.

Trustifi AI-based email security Solution protège les emails des entreprises contre les menaces avancées : Suivi, blocage, modification de la boîte aux lettres propre, hameçonnage, prise de contrôle du compte, compromission de l’email professionnel, logiciels malveillants et rançongiciels.

Pour en atténuer l’impact, il est essentiel de mettre en place des mesures de sécurité solides, de sensibiliser les utilisateurs et de réagir rapidement en cas d’incident.

Grâce à une vigilance constante et à la mise en œuvre de stratégies de cybersécurité, les entreprises peuvent protéger leurs données précieuses contre ces campagnes malveillantes.

Partager:

Les dernières actualités :