Новости Инфостилер-вымогатель RedEnergy атакует бразильские и филиппинские компании

NewsMaker

I'm just a script
Премиум
13,845
20
8 Ноя 2022
Злоумышленники доставляют зловредный софт через поддельные страницы на LinkedIn.


m59pxeuozrw6drf86q42sfurv85b9kw4.png


Эксперты по кибербезопасности обнаружили новую угрозу, которая направлена против компаний из сферы энергетики, телекоммуникаций и машиностроения в Бразилии и Филиппинах. Вирус-вымогатель RedEnergy распространяется через поддельные страницы LinkedIn и может как шифровать данные жертв, так и похищать их.

Для просмотра ссылки Войди или Зарегистрируйся исследователей из компании Zscaler , вирус имеет возможность похищать информацию из различных браузеров, действуя как классический инфостилер . Кроме того, вредонос включает различные модули для проведения вымогательских действий. Главная цель преступников — эффективно сочетать кражу данных с шифрованием, чтобы нанести максимальный ущерб своим жертвам.

Многоступенчатая атака начинается с кампании «FakeUpdates» (также известной как SocGholish), которая обманывает пользователей, заставляя их скачивать вредоносное программное обеспечение на основе JavaScript под видом обновлений браузера.

Изменения в рассмотренной специалистами кампании заключаются в использовании реальных страниц LinkedIn для привлечения жертв. Тех из них, кто кликнул на фишинговый URL-адрес, хакеры перенаправляют на поддельную страницу, предлагающую обновить свой браузер, нажав на соответствующую иконку (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera). При этом, естественно, скачивается зловредный исполняемый файл.

После загрузки и запуска вредоноса, он устанавливает своё постоянство в системе и загружает вышеупомянутый RedEnergy, способный тайно собирать, выгружать и шифровать файлы жертв, подвергая их риску потенциальной потери, раскрытия или даже продажи.

Исследователи Zscaler сообщили о том, что в рассмотренной кампании обнаружили подозрительные взаимодействия по протоколу FTP , что свидетельствует о том, что именно он используется для пересылки данных злоумышленникам.

В процессе шифрования вредонос добавляет забавное расширение «.FACKOFF!» к каждому файлу, удаляя существующие резервные копии и оставляя записку о выкупе в каждой папке. Жертвам предлагается заплатить 0.005 BTC (около 150 долларов или 13 500 рублей) на криптовалютный кошелек, указанный в записке вымогателей, чтобы восстановить доступ к своим файлам.

Небольшой размер выкупа говорит о том, что хакеры хотят увеличить свои шансы на его получение, а также заодно захватить и простых пользователей домашних компьютеров. А двойное назначение RedEnergy как похитителя информации и вымогателя-шифровальщика демонстрирует определённую эволюцию киберпреступного ландшафта.

Эксперты Zscaler рекомедуют как физическим, так и юридическим лицам проявлять крайнюю бдительность и осторожность при доступе к веб-сайтам, особенно тем, которые связаны с профилями LinkedIn. Как и обращать внимание на неожиданные загрузки файлов, которые пользователи сами не инициировали.
 
Источник новости
www.securitylab.ru

Похожие темы