کارشناسان نوع جدیدی از باج افزار را شناسایی کرده اند که از یک درایور قدیمی و آسیب پذیر استفاده می کند تا به عنوان یک برنامه آنتی ویروس ظاهر شود، تمام برنامه های امنیتی واقعی روی رایانه را از بین ببرد و سپس دستگاه را آلوده کند.
محققان این گونه را Kasseika نامیدند و معتقدند که به یک بدافزار قدیمی مرتبط است که سالها پیش مرده بود - BlackMatter.
در گزارشی، کارشناسان امنیت سایبری از Trend Micro ادعا میکنند که کمپین حمله با یک ایمیل فیشینگ شروع میشود که هدف آن سرقت اطلاعات ورود به سیستم است. سپس مهاجمان از این دسترسی برای حذف Kasseika استفاده میکنند، که اولین دستور کاری آن کشتن فرآیندی به نام Martini.exe است. مرحله دوم دانلود درایور آسیب پذیر به نام Martini.sys است.
BlackMatter زندگی می کند؟
آنها استدلال می کنند که این فایل Martini.sys برای موفقیت کمپین ضروری است، زیرا اگر فایل در نقطه پایانی در معرض خطر یافت نشود، بدافزار ادامه نخواهد داد. اگر دانلود با موفقیت انجام شود، Martini.sys برای غیرفعال کردن محصولات آنتی ویروس نصب شده استفاده می شود. این باجافزار با فهرستی از 991 فرآیند کدگذاری شده ارائه میشود که باید خاتمه داده شوند. گفته شد که بیشتر آنها به محصولات آنتی ویروس، ابزارهای امنیتی، ابزارهای تجزیه و تحلیل و ابزارهای سیستمی مربوط می شوند.
پس از از بین بردن برنامه های امنیتی، Kasseika رمزگذار را اجرا می کند. آخرین مرحله اجرای یک اسکریپت clear.bat است که تمام آثار حمله را از بین می برد.
قربانیان باجافزار یک تصویر پس زمینه دسکتاپ جدید را مشاهده میکنند که آنها را از حمله مطلع میکند. همچنین به آنها باج داده می شود که در ازای دسترسی به دستگاه های رمزگذاری شده، ظرف 72 ساعت 50 بیت کوین (تقریباً 2 میلیون دلار با قیمت فعلی) درخواست می شود. هر روز اضافی (حداکثر تا پنج روز) 500000 دلار بیشتر هزینه خواهد داشت.
Trend Micro معتقد است که Kasseika شبیه به BlackMatter است، یک نوع باج افزار که در سال 2021 از بین رفت. از آنجایی که کد منبع آن هرگز منتشر نشد، محققان بر این باورند که Kasseika یا توسط همان افراد ساخته شده است یا شخصی موفق شده است کد منبع را از وب تاریک خریداری کند. .
از طریق Bleeping Computer
ارسال نظر