GO dili ile geliştirilen AR crypt kötü amaçlı yazılımının yeni geliştirilmiş bir linux çeşidi dünya çapında hedeflenmeye başladı.
AR Crypt kötü amaçlı yazılımının ortaya çıkışı, hem Linux hem de Windows makinelerini hedefleyebilen Ağustos 2022’de görüldü.
Cyble Araştırma ve İstihbarat laboratuvarına göre, yeni varyant, tespitlerden kaçınmak için kurbanlarla etkileşime geçmek için taktiklerini ve tekniklerini güncelledi.
Yeni Varyantın Analizi
Eski varyanttan farklı olarak yeni varyant, kurbanlarla ayna siteler aracılığıyla iletişim kurar ve tehdit aktörleri, her kurban için benzersiz sohbet siteleri oluşturur.
Ayrıca, kurbanlara iletişim için TOX mesajlaşma sayfasında bir kullanıcı profili oluşturmaları talimatını verir ve fidyenin Monero’da ödenmesi durumunda indirim sunar.
Fidye yazılımının saldırı vektörü bilinmediğinden, yükü çalıştırdıktan sonra fidye yazılımı %TEMP% dizinine kopyalar ve rastgele altı basamaklı bir üst alfasayısal değer atar.
Daha sonra, eski sürümlerdeki ilk yürütülebilir dosyayı kaldırmak için bir toplu komut dosyasının kullanıldığı “cmd /c DEL “%SAMPLEPATH%” &EXIT” komutunu kullanarak orijinal fidye yazılımı ikili dosyasını siler.
Buna ek olarak, EDR tarafından tespit edilmekten kaçınmak için şifrelemeyi hızlandırmak için kötü amaçlı yazılımdan koruma, yedekleme ve kurtarma ile ilgili süreçleri sonlandırır.
Son olarak, bu fidye yazılımı dosyaları şifrelemeden önce bir fidye notu gönderir; “.crYpt” uzantılı dosyaları şifreler, oysa eski varyant “.crypt” uzantısını kullanır.
Fidye notundaki ikili dosyalar, kurbanları iletişim için aynı kullanıcı arayüzünü paylaşan ancak farklı URL’lere sahip farklı Tor sitelerine yönlendirir.
Tipik olarak fidye yazılımı TA’ları, kurbanların erişilebilirliğini sağlamak için fidye notundaki tüm yansıtma sitelerini içerir. Bu yaklaşım, mağdurların erişilemez hale gelmesi durumunda alternatif bir siteye erişmesine izin verir.
Uzlaşma Göstergeleri
göstergeler |
9b80a70be01700866a667085aad93b5a0408d6208440ef3caf7078361897f47c911de543a933ebeb8bec26881b2d191f5034b7d6cacbb8d2cc06eb7327f752fd0fab2 4d |
7df9c7e23c2a1f8d3d87cd2460bb275cb589fccc88bd05df102b7584c356fce21be1de5894e227ad918034ae9b569a380a5e6c8928428862236395e3357a085 b 03f25fef |
90aeedae5648c65ca3c3fb2ac038033744069c654987abb00ce9068dd856bd2065a20aa9e56eba93a0f3fab5e26c992a18cb6754c4b1a688e26a73c424d272babeab5 03 c |
a84957660902eb17fd021f3d187fb787cb3700cb561a449e6ff88978fb4ce1495982fe95b38807e5d6c4c4ae6811058fd868256abd6ed95f440e7f27ea81408bb 9ee 27fb |
a0aad92f585dfc6ac762b5fc829e6fba9ad2ae2c7fda526131ad6d535b21fe55d027d3aa4f2e40e6353a2430a80824d113268b5cdb28a0ddb079418be05ba79dea608 41 0 |
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.