DJVU olarak bilinen fidye yazılımı türünün bir çeşidinin, kırık yazılım biçiminde dağıtıldığı gözlemlendi.
Cybereason güvenlik araştırmacısı Ralph Villanueva, “Bu saldırı modeli yeni olmasa da, etkilenen dosyalara .xaro uzantısını ekleyen ve bir şifre çözücü için fidye talep eden bir DJVU varyantını içeren olayların, çeşitli emtia yükleyicileri ve bilgi hırsızlarının yanı sıra sistemlere de bulaştığı gözlemlendi.” söz konusu.
Yeni varyant, Amerikan siber güvenlik firması tarafından Xaro olarak kodlandı.
Kendi başına STOP fidye yazılımının bir çeşidi olan DJVU, genellikle meşru hizmetler veya uygulamalar gibi görünerek sahneye çıkar. Ayrıca SmokeLoader yükü olarak da teslim edilir.
DJVU saldırılarının önemli bir yönü, bilgi çalan yazılımlar (örn. RedLine Stealer ve Vidar) gibi ek kötü amaçlı yazılımların konuşlandırılması ve bunların doğası gereği daha zarar verici hale getirilmesidir.
Cybereason tarafından belgelenen en son saldırı zincirinde Xaro, yasal ücretsiz yazılım sunan bir site gibi görünen şüpheli bir kaynaktan gelen bir arşiv dosyası olarak yayılıyor.
Arşiv dosyasının açılması, CutePDF adı verilen ve gerçekte PrivateLoader olarak bilinen, yükleme başına ödemeli bir kötü amaçlı yazılım indirme hizmeti olan bir PDF yazma yazılımı için varsayılan bir yükleyici ikili dosyasının yürütülmesine yol açar.
PrivateLoader ise RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig ve gibi çok çeşitli hırsız ve yükleyici kötü amaçlı yazılım ailelerini getirmek için bir komut ve kontrol (C2) sunucusuyla bağlantı kurar. Fabookie, Xaro’yu bırakmanın yanı sıra.
Villanueva, “Emtia kötü amaçlı yazılımların indirilmesi ve çalıştırılmasına yönelik bu av tüfeği yaklaşımı, şüpheli ücretsiz yazılımlardan veya kırılmış yazılım sitelerinden kaynaklanan PrivateLoader enfeksiyonlarında yaygın olarak gözlemleniyor,” diye açıkladı.
Amaç, çifte gasp için hassas bilgileri toplamak ve sızdırmanın yanı sıra, yüklerden biri güvenlik yazılımı tarafından bloke edilse bile saldırının başarısını garanti altına almak gibi görünüyor.
Xaro, Vidar bilgi hırsızının bir örneğini oluşturmanın yanı sıra, fidye notu bırakmadan önce virüslü ana bilgisayardaki dosyaları şifreleme yeteneğine sahip ve kurbanı, özel anahtar ve şifre çözme aracı için 980 dolar ödemesi için tehdit aktörüyle temasa geçmeye teşvik ediyor. 72 saat içinde yaklaşılırsa %50 düşerek 490 dolara düşen bir fiyat.
Aslında etkinlik, güvenilmeyen kaynaklardan ücretsiz yazılım indirmenin içerdiği riskleri göstermektedir. Geçen ay Sucuri, ele geçirilen web sitelerinin ziyaretçilerine RedLine Stealer sunmak için sahte tarayıcı güncelleme bildirimlerinin sunulduğu FakeUpdateRU adlı başka bir kampanyanın ayrıntılarını verdi.
Villanueva, “Tehdit aktörlerinin, kötü amaçlı kodları gizlice dağıtmanın bir yolu olarak ücretsiz yazılım maskesini tercih ettikleri biliniyor.” dedi. “Enfekte olmuş makineler üzerindeki etkinin hızı ve kapsamı, kendilerini ve verilerini savunmak isteyen kurumsal ağlar tarafından dikkatle anlaşılmalıdır.”