Yakın zamanda gerçekleşen bir kampanyada, DJvu fidye yazılımının, ücretsiz veya crackli yazılım gibi davranan bir yükleyici aracılığıyla dağıtıldığı gözlemlendi. Bu fidye yazılımının daha önce virüslü dosyalara .xaro uzantısı sağladığı ve tehdit aktörlerinin bu dosyaların şifresini çözmek için fidye talep ettiği bildirilmişti.
Bu fidye yazılımının ana hedefleri veri sızdırma, bilgi çalma ve fidye talebidir. Bu kötü amaçlı yazılım, Av Tüfeği yaklaşımını kullanıyor ve çeşitli diğer kötü amaçlı dosyalarla birlikte dağıtıldığı tespit edildi.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
DJvu Fidye Yazılımı Enfeksiyon
Tehdit aktörleri, ilk erişim vektörü için kötü amaçlı .7z arşiv dosyalarını, meşru bir ücretsiz yazılım dağıtım sitesi gibi görünen güvenilmeyen bir web sitesiyle dağıttı. Kurbanlar kötü amaçlı install.7z arşiv dosyasını indirip çıkardıklarında, dosya bir install.exe dosyasından oluşuyor.
Bu dosya, yaklaşık ~0,7 GB boyutunda, ikili paketli büyük bir dosyadır. Bu dosyanın daha ayrıntılı analizi, bunun ilk kez 2021’de gözlemlenen bir PrivateLoader olduğunu ortaya çıkardı.
Kurbanlar install.exe dosyasını çalıştırırsa Redline Stealer (infostealer), Vidar (infostealer), Amadey (botnet), Nymaim (indirici), GCleaner (loader), XmRig(Crytominer), Fabookie (Facebook infostealer) gibi birkaç ek kötü amaçlı yazılım indirilir. ) ve LummaC Stealer (bilgi hırsızı görevi gören MaaS platformu).
Buna ek olarak, Xaro yükünün, install.exe yürütüldükten sonraki üç dakika içinde ele geçirilen makinede çalıştığı tespit edildi. Xaro yükünün yürütülmesi ve sonlandırılmasında gözlemlenen iki akış vardı.
Birinci Akış ve İkinci Akış
İlk akış, 5r64.exe gibi dört karakter uzunluğunda alfasayısal dizeye sahip bir işlem adı kullanır ve kendisinin bir alt işlemini oluşturarak kendisine bir kod enjekte eder. Bu alt işlem, \software\microsoft\windows\currentversion\run\syshelper konumunda bir kayıt defteri oluşturur.
İkinci akış birinciye benziyordu ancak belirli baypas güvenlik önlemlerini kullanıyordu. Bu akıştaki alt süreç bir C2 sunucusu api.2ip’e bağlanır[.]ua. Buna ek olarak, ele geçirilen makinelerdeki C:\Users\User dizinindeki dosyaları da şifreler.
Ayrıca bu fidye yazılımı çeşidi hakkında CyberReason tarafından, yürütme süreci, kullanılan yükler, kaynak kodu ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
| Tip | Değer | Yorum |
| SHA-256 | 10ef30b7c8b32a4c91d6f6fee738e39dc02233d71ecf4857bec6e70520d0f5c1 | install.exe |
| SHA-256 | 83546201db335f52721ed313b9078de267eaf1c5d58168b99e35b2836bf4f0fc | Xaro yükü |
| SHA-256 | 3d9cf227ef3c29b9ca22c66359fdd61d9b3d3f2bb197ec3df42d49ff22b989a4 | Build2.exe |
| SHA-256 | 8d7f0e6b6877bdfb9f4531afafd0451f7d17f0ac24e2f2427e9b4ecc5452b9f0 | Build3.exe |
| İhtisas | ateş.2ip[.]Yapmak | Xaro C2 Sunucusu |
| İhtisas | kolisyum[.]iletişim | Xaro C2 Sunucusu |
| İhtisas | iyi[.]iletişim | Xaro C2 Sunucusu |
| Görev adı | Azure Güncelleme Görevi | Planli gorev |
| Görev adı | Zaman Tetikleme Görevi | Xaro’yu yeniden çalıştırmak için kullanılan zamanlanmış görev |
| Kayıt | yazılım\microsoft\windows\geçerli sürüm\çalıştır\syshelper | Kalıcılık için Xaro tarafından kullanılan kayıt defteri girişi |
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.