Une menace sophistiquée de voleur en tant que rançongiciel appelée RedEnergy a été repéré dans la nature ciblant les secteurs des services publics d’énergie, du pétrole, du gaz, des télécommunications et des machines au Brésil et aux Philippines via leurs pages LinkedIn.
Le malware « possède la capacité de voler des informations de divers navigateurs, permettant l’exfiltration de données sensibles, tout en incorporant différents modules pour mener des activités de ransomware », ont déclaré les chercheurs de Zscaler Shatak Jain et Gurkirat Singh dans une analyse récente.
L’objectif, ont noté les chercheurs, est de coupler le vol de données avec le cryptage dans le but d’infliger un maximum de dommages aux victimes.
Le point de départ de l’attaque en plusieurs étapes est une campagne FakeUpdates (alias SocGholish) qui incite les utilisateurs à télécharger des logiciels malveillants basés sur JavaScript sous le couvert de mises à jour de navigateur Web.
Ce qui le rend nouveau, c’est l’utilisation de pages LinkedIn réputées pour cibler les victimes, redirigeant les utilisateurs cliquant sur les URL du site Web vers une fausse page de destination qui les invite à mettre à jour leur navigateur Web en cliquant sur l’icône appropriée (Google Chrome, Microsoft Edge, Mozilla Firefox , ou Opera), ce qui entraîne le téléchargement d’un exécutable malveillant.
Suite à une brèche réussie, le binaire malveillant est utilisé comme conduit pour configurer la persistance, effectuer la mise à jour du navigateur proprement dite, et également déposer un voleur capable de récolter secrètement des informations sensibles et de crypter les fichiers volés, laissant les victimes à risque de perte de données potentielle. , l’exposition ou même la vente de leurs précieuses données.
Zscaler a déclaré avoir découvert des interactions suspectes sur une connexion FTP (File Transfer Protocol), ce qui soulève la possibilité que des données précieuses soient exfiltrées vers une infrastructure contrôlée par des acteurs.
Dans la dernière étape, le composant ransomware de RedEnergy procède au cryptage des données de l’utilisateur, en ajoutant le suffixe « .FACKOFF! » extension à chaque fichier crypté, en supprimant les sauvegardes existantes et en déposant une note de rançon dans chaque dossier.
Les victimes devraient effectuer un paiement de 0,005 BTC (environ 151 $) sur un portefeuille de crypto-monnaie mentionné dans la note pour retrouver l’accès aux fichiers. La double fonction de RedEnergy en tant que voleur et rançongiciel représente une évolution du paysage de la cybercriminalité.
Le développement fait également suite à l’émergence d’une nouvelle catégorie de menace RAT-as-a-ransomware dans laquelle les chevaux de Troie d’accès à distance tels que Venom RAT et Anarchy Panel RAT ont été équipés de modules de ransomware pour verrouiller diverses extensions de fichiers derrière des barrières de cryptage.
« Il est crucial que les individus et les organisations fassent preuve de la plus grande prudence lorsqu’ils accèdent à des sites Web, en particulier ceux liés à des profils LinkedIn », ont déclaré les chercheurs. « La vigilance dans la vérification de l’authenticité des mises à jour du navigateur et la méfiance face aux téléchargements de fichiers inattendus sont primordiales pour se protéger contre de telles campagnes malveillantes. »
