کارشناسان نوع جدیدی از باج افزار را شناسایی کرده اند که از یک درایور قدیمی و آسیب پذیر استفاده می کند تا به عنوان یک برنامه آنتی ویروس ظاهر شود، تمام برنامه های امنیتی واقعی روی رایانه را از بین ببرد و سپس دستگاه را آلوده کند.

محققان این گونه را Kasseika نامیدند و معتقدند که به یک بدافزار قدیمی مرتبط است که سال‌ها پیش مرده بود - BlackMatter.

در گزارشی، کارشناسان امنیت سایبری از Trend Micro ادعا می‌کنند که کمپین حمله با یک ایمیل فیشینگ شروع می‌شود که هدف آن سرقت اطلاعات ورود به سیستم است. سپس مهاجمان از این دسترسی برای حذف Kasseika استفاده می‌کنند، که اولین دستور کاری آن کشتن فرآیندی به نام Martini.exe است. مرحله دوم دانلود درایور آسیب پذیر به نام Martini.sys است.

BlackMatter زندگی می کند؟

آنها استدلال می کنند که این فایل Martini.sys برای موفقیت کمپین ضروری است، زیرا اگر فایل در نقطه پایانی در معرض خطر یافت نشود، بدافزار ادامه نخواهد داد. اگر دانلود با موفقیت انجام شود، Martini.sys برای غیرفعال کردن محصولات آنتی ویروس نصب شده استفاده می شود. این باج‌افزار با فهرستی از 991 فرآیند کدگذاری شده ارائه می‌شود که باید خاتمه داده شوند. گفته شد که بیشتر آنها به محصولات آنتی ویروس، ابزارهای امنیتی، ابزارهای تجزیه و تحلیل و ابزارهای سیستمی مربوط می شوند.

پس از از بین بردن برنامه های امنیتی، Kasseika رمزگذار را اجرا می کند. آخرین مرحله اجرای یک اسکریپت clear.bat است که تمام آثار حمله را از بین می برد.

قربانیان باج‌افزار یک تصویر پس زمینه دسکتاپ جدید را مشاهده می‌کنند که آنها را از حمله مطلع می‌کند. همچنین به آنها باج داده می شود که در ازای دسترسی به دستگاه های رمزگذاری شده، ظرف 72 ساعت 50 بیت کوین (تقریباً 2 میلیون دلار با قیمت فعلی) درخواست می شود. هر روز اضافی (حداکثر تا پنج روز) 500000 دلار بیشتر هزینه خواهد داشت.

Trend Micro معتقد است که Kasseika شبیه به BlackMatter است، یک نوع باج افزار که در سال 2021 از بین رفت. از آنجایی که کد منبع آن هرگز منتشر نشد، محققان بر این باورند که Kasseika یا توسط همان افراد ساخته شده است یا شخصی موفق شده است کد منبع را از وب تاریک خریداری کند. .

از طریق Bleeping Computer

بیشتر از TechRadar Pro