Οι χάκερ που διεξάγουν μια νέα καμπάνια με οικονομικά κίνητρα χρησιμοποιούν μια παραλλαγή του ransomware Xortist που ονομάζεται «MortalKombat», μαζί με το Laplas clipper σε κυβερνοεπιθέσεις.
Και τα δύο κακόβουλα προγράμματα, το ransomware και το Laplas, χρησιμοποιούνται για δόλιο οικονομικό κέρδος: το πρώτο για να εκβιάσει τα χρήματα των θυμάτων πριν παράσχει έναν αποκρυπτογράφο και το δεύτερο για να κλέψει cryptocurrency.
Δείτε επίσης: Η Cloudflare μετριάζει μια DDoS επίθεση με 71 εκατομμύρια request-per-second
Το Laplas είναι ένα cryptocurrency hijacker που κυκλοφόρησε πέρυσι και παρακολουθεί το πρόχειρο των Windows για crypto addresses και, όταν βρεθεί, τις αντικαθιστά με διευθύνσεις υπό τον έλεγχο του εισβολέα.
Όσο για το MortalKombat, η Cisco Talos λέει ότι το νέο ransomware βασίζεται στην οικογένεια ransomware Xorist, η οποία χρησιμοποιεί ένα πρόγραμμα δημιουργίας που επιτρέπει στους απειλητικούς παράγοντες να προσαρμόσουν το κακόβουλο λογισμικό. Το Xorist μπορεί να αποκρυπτογραφηθεί δωρεάν από το 2016.
Οι ερευνητές της Talos εντόπισαν κυρίως θύματα των επιθέσεων στις Ηνωμένες Πολιτείες, αλλά ανακάλυψαν επίσης μερικά διάσπαρτα σε πολλές χώρες, όπως το Ηνωμένο Βασίλειο, η Τουρκία και οι Φιλιππίνες.
Phishing επιθέσεις
Ένα κακόβουλο συνημμένο αρχείο ZIP με ένα BAT loader script αποστέλλεται μέσω email που κατεβάζει ένα δεύτερο αρχείο από εξωτερική πηγή. Αυτό το αρχείο περιλαμβάνει ένα από τα δύο επικίνδυνα malware payloads.
Το loader script θα εκτελέσει το ωφέλιμο φορτίο που έχει ληφθεί ως διεργασία στο παραβιασμένο σύστημα, πριν διαγράψει όλα τα αρχεία που έχουν ληφθεί για να μειώσει τους κινδύνους εντοπισμού.
MortalKombat ransomware
Το MortalKombat είναι μια παραλλαγή ransomware Xorist που ανακαλύφθηκε για πρώτη φορά τον Ιανουάριο του 2023, που πήρε το όνομά του από το δημοφιλές βιντεοπαιχνίδι μάχης και διαθέτει μια σημείωση λύτρων/ταπετσαρία που περιλαμβάνει έργα τέχνης από το franchise.
Δείτε επίσης: Romance scams: Οι Αμερικανοί έχασαν $ 1,3 δισ. το 2022
Σύμφωνα με τους αναλυτές της Talos, το ransomware που έχει εντοπιστεί είναι αρκετά βασικό. Θα στοχεύει επίσης αρχεία συστήματος και εφαρμογές, τα οποία συνήθως αποφεύγονται προκειμένου να μην υπάρχει δυσλειτουργία του συστήματος.
Η ταπετσαρία λειτουργεί ως δυσοίωνη υπενθύμιση, δίνοντας οδηγίες στο θύμα να χρησιμοποιήσει την υπηρεσία άμεσων μηνυμάτων Tor του qTOX για να συνομιλήσει με τους χάκερ και να πληρώσει τα λύτρα σε Bitcoin.
Δείτε επίσης: PyPi python packages κλέβουν crypto μέσω Chrome extensions
Ο εισβολέας παρέχει επίσης μια διεύθυνση email ProtonMail εάν το θύμα αντιμετωπίζει πρόβλημα με την εγγραφή νέου λογαριασμού στο qTOX.
Αν και το MortalKombat δεν διαθέτει λειτουργία wiper, καταστρέφει φακέλους συστήματος όπως ο Κάδος Ανακύκλωσης, έτσι ώστε τα θύματα να μην μπορούν να ανακτήσουν αρχεία από εκεί, απενεργοποιεί το παράθυρο εντολών Windows Run και καταργεί όλες τις καταχωρήσεις από την εκκίνηση των Windows.
Παρά τις προσπάθειες των αναλυτών της Cisco, οι λειτουργικοί μηχανισμοί πίσω από το MortalKombat ransomware παραμένουν ένα μυστήριο.
Πηγή πληροφοριών: bleepingcomputer.com
