کمپین Crypto-Stealing باج افزار MortalKombat را به کار می گیرد

یک کمپین کلاهبرداری مالی جدید با استفاده از گونه‌ای از باج‌افزار کالایی Xorist “MortalKombat” همراه با گونه‌ای از بدافزار Laplas Clipper مشاهده شده است.

هدف از حملات سایبری ربودن ارزهای دیجیتال از قربانیان و عمدتاً قربانیان در ایالات متحده و همچنین در بریتانیا، ترکیه و فیلیپین بوده است.

سیسکو تالوس در مشاوره روز سه‌شنبه نوشت: «اهم‌سازی رمزارز مزایای جذابی مانند ناشناس بودن، تمرکززدایی، و فقدان مقررات را به عوامل تهدید ارائه می‌دهد که ردیابی آن را چالش‌برانگیزتر می‌کند.

این شرکت گفت که این بازیگر را کشف کرده است که در حال اسکن اینترنت برای ماشین های قربانی با یک پورت پروتکل دسکتاپ از راه دور (RDP) است. آنها سپس از یکی از سرورهای دانلود خود برای اجرای یک خزنده RDP استفاده کردند و استقرار باج افزار MortalKombat را تسهیل کردند.

از نقطه نظر فنی، حملاتی که به عنوان بخشی از این کمپین دیده می‌شوند، با یک ایمیل فیشینگ شروع می‌شوند، که یک زنجیره حمله چند مرحله‌ای را آغاز می‌کند که در آن بازیگر بدافزار یا باج‌افزار را تحویل می‌دهد، سپس شواهد حضور مخرب خود را در دستگاه آلوده حذف می‌کند.

در این توصیه نامه آمده است: “فایل ZIP مخرب پیوست شده به ایمیل اولیه فیشینگ حاوی یک اسکریپت بارگیری BAT است.”

هنگامی که قربانیان اسکریپت لودر را اجرا می کنند، فایل ZIP مخرب دیگری را از یک سرور میزبان تحت کنترل مهاجم به دستگاه قربانی دانلود می کند، آن را به طور خودکار باد می کند و بار را اجرا می کند (نوع GO بدافزار Laplas Clipper یا باج افزار MortalKombat).

سیسکو تالوس نوشت: «اسکریپت لودر، بار حذف شده را به عنوان یک فرآیند در دستگاه قربانی اجرا می‌کند، سپس فایل‌های مخرب دانلود شده و رها شده را حذف می‌کند تا نشانگرهای عفونت پاک شود.

سیسکو تالو برای دفاع در برابر این کمپین، شرکت‌ها را تشویق کرد که در انجام تراکنش‌های ارزهای دیجیتال مراقب باشند.

اریش کرون، یک مدافع آگاهی امنیتی در KnowBe4، توصیه‌های امنیتی Cisco Talos را به اشتراک گذاشت و اضافه کرد که سازمان‌ها باید روی دفاع از فیشینگ ایمیل تمرکز کنند.

کرون در ایمیلی به Infosecurity گفت: «بسیاری از سازمان‌ها هنوز فایل‌های .ZIP را به‌عنوان پیوست مجاز می‌کنند، اما ممکن است دلیلی برای اکثر کارمندان برای ارسال این نوع فایل نداشته باشند. از آنجایی که این نوع فایل‌های بایگانی به‌طور مرتب هنگام تلاش برای انتشار بدافزار استفاده می‌شوند، غیرقانونی کردن آنها می‌تواند توانایی دفاع در برابر این کمپین‌ها را به میزان قابل توجهی بهبود بخشد.»

حملات مبتنی بر فیشینگ همچنین در مرکز گزارش اخیر Cofense قرار داشت که نشان می‌دهد استفاده از ربات‌های تلگرام به عنوان مقصد نفوذ برای اطلاعات فیشینگ بین سال‌های 2021 تا 2022 رشد 800 درصدی داشته است.