یک کمپین جدید با انگیزه مالی که در دسامبر 2022 آغاز شد، یک عامل تهدید ناشناس را در پشت آن مشاهده کرد که یک نوع باج افزار جدید به نام MortalKombat و یک بدافزار کلیپر معروف به Laplas را به کار گرفته است.
Cisco Talos گفت: "بازیگر را در حال اسکن اینترنت برای ماشین های قربانی با پورت 3389 پروتکل دسکتاپ از راه دور (RDP) در معرض دید قرار داده است. "
این حملات، به گفته شرکت امنیت سایبری، عمدتاً بر افراد، مشاغل کوچک و سازمانهای بزرگ مستقر در ایالات متحده و تا حدی کمتر در بریتانیا، ترکیه و فیلیپین متمرکز است.
نقطه شروعی که زنجیره حمله چند مرحله ای را آغاز می کند، یک ایمیل فیشینگ است که حاوی یک فایل ZIP مخرب است که به عنوان مسیری برای تحویل کلیپر یا باج افزار استفاده می شود.
علاوه بر استفاده از فریبهای ایمیل با مضمون ارزهای دیجیتال که جعل هویت CoinPayments هستند، این عامل تهدید به پاک کردن نشانگرهای عفونت در تلاش برای پوشاندن مسیرهای خود نیز معروف است.
MortalKombat که برای اولین بار در ژانویه 2023 شناسایی شد، قادر به رمزگذاری سیستم، برنامه، پشتیبان گیری و فایل های ماشین مجازی در سیستم در معرض خطر است. این بیشتر ویندوز اکسپلورر را خراب می کند، پنجره دستور Run را غیرفعال می کند و برنامه ها و پوشه ها را از راه اندازی ویندوز حذف می کند.
Chetan Raghuprasad، محقق Cisco Talos گفت، تجزیه و تحلیل کد منبع این باج افزار نشان می دهد که این باج افزار بخشی از خانواده باج افزار Xorist است.
گیره Laplas یک نوع بدافزار Golang است که در نوامبر 2022 آشکار شد. این نرم افزار برای نظارت بر کلیپ بورد برای هر آدرس کیف پول رمزنگاری و جایگزینی آن با یک کیف پول تحت کنترل بازیگر برای انجام تراکنش های جعلی طراحی شده است.
Raghuprasad توضیح داد: «برشکننده محتویات کلیپبورد ماشین قربانی را میخواند و عملکردی را برای انجام تطبیق الگوی عبارت منظم برای شناسایی آدرس کیف پول ارز دیجیتال اجرا میکند.
زمانی که یک آدرس کیف پول رمزنگاری شناسایی می شود، کلیپر آدرس کیف پول را به ربات کلیپر می فرستد. در پاسخ، کلیپر یک آدرس کیف پول کنترل شده توسط مهاجم مشابه آدرس قربانی دریافت می کند و آدرس کیف پول اصلی ارز دیجیتال را در کلیپ بورد بازنویسی می کند."
ارسال نظر