Μια νέα phishing καμπάνια μολύνει τους χρήστες με το MirCop ransomware, που κρυπτογραφεί ένα σύστημα σε λιγότερο από δεκαπέντε λεπτά.
Οι εγκληματίες του κυβερνοχώρου ξεκινούν την επίθεση στέλνοντας ένα email στο θύμα, σαν follow-up για μια προηγούμενη συμφωνία σχετικά με μια παραγγελία.
Δείτε επίσης: Επιθέσεις mobile phishing: Αύξηση 161% κατά του ενεργειακού τομέα
Το email περιέχει έναν υπερσύνδεσμο προς ένα Google Drive URL, το οποίο αν το ανοίξει ο χρήστης, κατεβάζει ένα MHT file στον υπολογιστή του.
Το Google Drive χρησιμοποιείται από τους εγκληματίες για να φαίνεται πιο νόμιμο το email, ενώ ταυτόχρονα ευθυγραμμίζεται πολύ καλά με τις καθημερινές επιχειρηματικές πρακτικές.
Όσοι ανοίγουν το αρχείο βλέπουν μόνο μια θολή εικόνα μιας υποτιθέμενης λίστας προμηθευτών, σφραγισμένη και υπογεγραμμένη, έτσι ώστε να έχει μια παραπάνω “νότα” νομιμότητας.
Όταν ανοίγει το αρχείο MHT, πραγματοποιείται λήψη ενός RAR archive που περιέχει ένα .NET malware downloader από το “hXXps://a[.]pomf[.]cat/gectpe.rar”.
Το RAR archive περιέχει ένα αρχείο EXE, το οποίο χρησιμοποιεί VBS scripts για την εγκατάσταση και εκτέλεση του MirCop payload στο μολυσμένο σύστημα.
Το MirCop ransomware ενεργοποιείται αμέσως και ξεκινά τη λήψη screenshots, κλειδώνει αρχεία, αλλάζει το φόντο εμφανίζοντας μια φρικτή εικόνα με θέμα τα ζόμπι και προσφέρει στα θύματα οδηγίες για το τι πρέπει να κάνουν στη συνέχεια.
Σύμφωνα με την Cofense, όλη αυτή η διαδικασία διαρκεί λιγότερο από 15 λεπτά από τη στιγμή που το θύμα ανοίγει το phishing email.
Δείτε επίσης: Καμπάνια phishing DocuSign στοχεύει υπαλλήλους χαμηλής κατάταξης
Μετά από αυτό, ο χρήστης μπορεί μόνο να ανοίξει συγκεκριμένα προγράμματα περιήγησης για να επικοινωνήσει με τους εγκληματίες και να κανονίσει την πληρωμή των λύτρων.
Σύμφωνα με ερευνητές, η ransomware συμμορία MirCop δεν ενδιαφέρεται να μείνει μέσα στο σύστημα για κυβερνοκατασκοπεία ή κλοπή αρχείων.
Αντίθετα, η επίθεση γίνεται γρήγορα και οι χρήστες καταλαβαίνουν άμεσα ότι έχουν μολυνθεί οι συσκευές τους.
MicroCop ransomware: Ένα παλιό αλλά επικίνδυνο ransomware
Το MicroCop είναι ένα παλιό ransomware, που ήταν γνωστό για την απαίτηση μεγάλων χρηματικών ποσών.
Αυτό γινόταν μέχρι που ο Michael Gillespie έσπασε την κρυπτογράφησή του και κυκλοφόρησε δωρεάν ένα πρόγραμμα αποκρυπτογράφησης.
Δείτε επίσης: Πώς το phishing-as-a-service αποτελεί απειλή για τους οργανισμούς
Ενδέχεται το εργαλείο αποκρυπτογράφησης να είναι αποτελεσματικό και για τις νέες επιθέσεις.
Η Cofense λέει ότι η ίδια παραλλαγή κυκλοφορεί από τον Ιούνιο του τρέχοντος έτους, επομένως το MicroCop ransomware είναι ακόμα εκεί έξω και οι χρήστες και οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί με τα emails που λαμβάνουν.
Πηγή: Bleeping Computer