06/07/23
Эксперты по кибербезопасности обнаружили новую угрозу, которая направлена против компаний из сферы энергетики, телекоммуникаций и машиностроения в Бразилии и Филиппинах. Вирус-вымогатель RedEnergy распространяется через поддельные страницы LinkedIn и может как шифровать данные жертв, так и похищать их. Это передает Securitylab.
По данным исследователей из компании Zscaler, вирус имеет возможность похищать информацию из различных браузеров, действуя как классический инфостилер. Кроме того, вредонос включает различные модули для проведения вымогательских действий. Главная цель преступников — эффективно сочетать кражу данных с шифрованием, чтобы нанести максимальный ущерб своим жертвам.
Многоступенчатая атака начинается с кампании «FakeUpdates» (также известной как SocGholish), которая обманывает пользователей, заставляя их скачивать вредоносное программное обеспечение на основе JavaScript под видом обновлений браузера.
Изменения в рассмотренной специалистами кампании заключаются в использовании реальных страниц LinkedIn для привлечения жертв. Тех из них, кто кликнул на фишинговый URL-адрес, хакеры перенаправляют на поддельную страницу, предлагающую обновить свой браузер, нажав на соответствующую иконку (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera). При этом, естественно, скачивается зловредный исполняемый файл.
После загрузки и запуска вредоноса, он устанавливает своё постоянство в системе и загружает вышеупомянутый RedEnergy, способный тайно собирать, выгружать и шифровать файлы жертв, подвергая их риску потенциальной потери, раскрытия или даже продажи.
Исследователи Zscaler сообщили о том, что в рассмотренной кампании обнаружили подозрительные взаимодействия по протоколу FTP, что свидетельствует о том, что именно он используется для пересылки данных злоумышленникам.
В процессе шифрования вредонос добавляет забавное расширение «.FACKOFF!» к каждому файлу, удаляя существующие резервные копии и оставляя записку о выкупе в каждой папке. Жертвам предлагается заплатить 0.005 BTC (около 150 долларов или 13 500 рублей) на криптовалютный кошелек, указанный в записке вымогателей, чтобы восстановить доступ к своим файлам.
Небольшой размер выкупа говорит о том, что хакеры хотят увеличить свои шансы на его получение, а также заодно захватить и простых пользователей домашних компьютеров. А двойное назначение RedEnergy как похитителя информации и вымогателя-шифровальщика демонстрирует определённую эволюцию киберпреступного ландшафта.
Эксперты Zscaler рекомедуют как физическим, так и юридическим лицам проявлять крайнюю бдительность и осторожность при доступе к веб-сайтам, особенно тем, которые связаны с профилями LinkedIn. Как и обращать внимание на неожиданные загрузки файлов, которые пользователи сами не инициировали.
