Finansal olarak motive edilmiş yeni bir kampanya yürüten bilgisayar korsanları, 'Mortalkombat' adlı Xortist emtia fidye yazılımının bir varyantını, siber saldırılardaki Laplas Clipper ile birlikte kullanıyor.
Her iki kötü amaçlı yazılım enfeksiyonu, finansal sahtekarlık yapmak için kullanılır, fidye yazılımı kurbanları zorlamak için kullanılır ve kripto işlemlerini ele geçirerek kripto para birimini çalmak için Laplas.
Laplas, geçen yıl piyasaya sürülen bir kripto para korsanıdır, bu da kripto adresleri için Windows panosuna izleyen ve bulunduğunda bunları saldırganın kontrolü altındaki adresler için değiştirir.
Mortalkombat'a gelince, Cisco Talos, yeni fidye yazılımlarının, tehdit oyuncularının kötü amaçlı yazılımları özelleştirmesine izin veren bir inşaatçı kullanan Xorist Emtia Fidyeware ailesine dayandığını söylüyor. Xorist 2016'dan beri ücretsiz olarak şifre çözülebilir.
Talos araştırmacıları tarafından gözlemlenen saldırılar, esas olarak Amerika Birleşik Devletleri'ne odaklandı, bazı kurbanlar da İngiltere, Türkiye ve Filipinler'de.
E -posta, uzak bir kaynaktan ikinci bir arşiv indiren bir yarasa yükleyici komut dosyası içeren kötü amaçlı bir fermuar eki içerir. Bu arşiv iki kötü amaçlı yazılım yükünden birini içerir.
Yükleyici komut dosyası, indirilen yükü tehlikeye atılan sistemde bir işlem olarak yürütecek ve ardından algılama şansını en aza indirmek için indirilen dosyaları silecektir.
E -posta mesajı, bir yarasa yükleyici komut dosyası içeren kötü amaçlı bir fermuar eki taşır, açıldığında, uzak bir kaynaktan ikinci bir arşiv indirir. Bu arşiv iki kötü amaçlı yazılım yükünden birini içerir.
Yükleyici komut dosyası, indirilen yükü tehlikeye atılan sistemde bir işlem olarak yürütecek ve ardından algılama şansını en aza indirmek için indirilen dosyaları silecektir.
Mortalkombat, ilk olarak Ocak 2023'te, popüler dövüş video oyunundan sonra ve franchise sanatını içeren bir fidye notu/duvar kağıdı içeren bir Xorist fidye yazılımı varyantıdır.
Talos analistleri, sistemin kararsız hale gelmesini önlemek için yaygın olarak kaçınılan sistem dosyalarını ve uygulamaları da hedefleyeceği için belirli fidye yazılımlarının çok sofistike olmadığını bildiriyor.
"Talos, Mortalkombat'ın kurban makinesinin dosya sisteminde sistem, uygulama, veritabanı, yedekleme ve sanal makine dosyaları gibi çeşitli dosyaları ve kurbanın makinesinde mantıksal sürücüler olarak eşlenen uzak konumlardaki dosyaları şifrelediğini gözlemledi." .
Diyerek şöyle devam etti: "Fidye notunu düşürüyor ve kurban makinesinin duvar kağıdını şifreleme sürecinde değiştiriyor."
Duvar kağıdı aynı zamanda kurbana, Bitcoin'de ödeme talep eden siber suçlarla müzakere etmek için QTOX Tor tabanlı anlık mesajlaşma uygulamasını kullanmasını söyleyen bir fidye notu olarak hareket ediyor.
Saldırgan ayrıca, kurbanın QTOX'ta yeni bir hesap kaydetmede sorun yaşadığı takdirde bir protonmail e -posta adresi sağlar.
Mortalkombat silecek işlevselliğine sahip olmasa da, geri dönüşüm kutusu gibi sistem klasörlerini bozar, böylece kurbanlar oradan dosya alamaz, Windows Run komut penceresini devre dışı bırakır ve Windows Startup'tan tüm girişleri kaldırır.
Ayrıca, fidye yazılımı, Windows kayıt defterine girer ve yüklü uygulamanın HKEY_Classes_Root kayıt defteri kovanındaki kök kayıt defteri anahtarını salarken, kalıcılık için bir çalışma kayıt defteri anahtarı ("alcMeter") oluşturur.
HKEY_Classes_Root Hive, her dosya türü için kullanılan dosya ilişkilendirmeleri, komutlar ve simgeler hakkında bilgi depolar, bu nedenle bu girişleri silmek, uygulamaların artık işlev göremeyeceği anlamına gelir.
Cisco'nun analistleri, Mortalkombat fidye yazılımının operasyonel modelinin ne olduğunu ve yalnız bir tehdit oyuncusunun özel gerginliği olup olmadığını veya Laplas gibi diğer siber suçlulara satılıp satılmadığını bilmiyorlar.
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
451 pypi paketleri kripto çalmak için krom uzantıları yükleyin
Kullanıcılar arasında e -posta yorgunluğu siber suçlular için kapı açar
FBI, kötü amaçlı yazılımları iten arama motoru reklamlarını uyarıyor, kimlik avı
Kuzey Koreli hackerlar, Konni Rat kötü amaçlı yazılımlarla AB hedeflerine saldırıyor
Kaynak: Bleeping Computer