Οι χάκερς που βρίσκονται πίσω από το Exorcist 2.0 ransomware χρησιμοποιούν μία κακόβουλη διαφήμιση, με στόχο να ανακατευθύνουν ανυποψίαστα θύματα σε fake software crack sites που διανέμουν το malware που έχει αναπτύξει η συμμορία.
Σύμφωνα με τον ερευνητή ασφαλείας Nao_Sec, το PopCash malware ανακατευθύνει τους χρήστες από νόμιμα sites σε ένα fake software crack site. Αυτό το site ισχυρίζεται ότι προσφέρει συνδέσμους λήψης για προγράμματα που παραβιάζουν την προστασία πνευματικών δικαιωμάτων σε εμπορικό software, ώστε να μπορεί να χρησιμοποιηθεί δωρεάν. Για παράδειγμα, το site ισχυρίζεται ότι προσφέρει ένα «Windows 10 Activator 2020» που θα επιτρέπει στους χρήστες να ενεργοποιήσουν τα Windows 10 δωρεάν.
Το αρχείο λήψης περιέχει ένα άλλο αρχείο zip που προστατεύεται με κωδικό πρόσβασης και ένα αρχείο κειμένου που περιέχει τον κωδικό πρόσβασης του αρχείου. Η προστασία του αρχείου με κωδικό πρόσβασης, επιτρέπει την πραγματοποίηση της λήψης, χωρίς να εντοπιστεί από την Ασφαλή περιήγηση της Google, το Microsoft SmartScreen ή το εγκατεστημένο software ασφαλείας.
Σε περίπτωση που το πρόγραμμα εγκατάστασης εκτελεστεί, οι χρήστες θα διαπιστώσουν ότι τα αρχεία τους αρχίζουν να αποκρυπτογραφούνται, αντί να εγκατασταθεί δωρεάν το Windows 10 Activator 2020.
Στους κρυπτογραφημένους φακέλους θα περιλαμβάνονται σημειώματα λύτρων, τα οποία περιέχουν μοναδικούς συνδέσμους που παραπέμπουν τους χρήστες σε ένα Tor site πληρωμών, όπου ένα θύμα μπορεί να λάβει πληροφορίες σχετικά με τον τρόπο που μπορεί να καταβάλει τα λύτρα που του ζητούν οι χάκερς του Exorcist 2.0 ransomware.
Όταν επισκεφθούν το Tor site πληρωμής, τα θύματα μπορούν να λάβουν δωρεάν αποκρυπτογράφηση ενός αρχείου, έναν τρόπο συνομιλίας με τους χάκερς καθώς και το ποσό των λύτρων που καλούνται να πληρώσουν.
Όπως αναφέρει το BleepingComputer, από τα σημειώματα λύτρων της συμμορίας του Exorcist 2.0 ransomware, τα λύτρα κυμαίνονται από 250 $ έως 10.000 $. Ωστόσο, υπολογίζεται ότι οι χάκερς ζητούν πολύ υψηλότερα ποσά λύτρων, ανάλογα με τον αριθμό των αρχείων που έχουν κρυπτογραφηθεί ή με βάση άλλα κριτήρια.
Η χρήση fake crack software sites για τη διανομή malware είναι η ίδια τακτική που χρησιμοποιείται από τους χάκερς που βρίσκονται πίσω από το STOP ransomware, γεγονός που οδήγησε το STOP να είναι το πιο διαδεδομένο ransomware που είναι επί του παρόντος “ενεργό” στο τοπίο των απειλών.
Εάν το οι χάκερς συνεχίσουν να χρησιμοποιούν fake crack software sites για να διανείμουν το Exorcist 2.0 ransomware, είναι πολύ πιθανό να αυξηθούν ραγδαία τα θύματα του εν λόγω ransomware.