Geçtiğimiz Mayıs ayından bu yana faaliyet gösteren, Rhysida adlı yeni ortaya çıkan bir fidye yazılımı türü, Brezilya’nın popüler PIX ödeme sistemi kullanıcılarına karşı güçlü bir yeni bir iki yumruk atmak için Lumar adlı yeni hırsız kötü amaçlı yazılımla birlikte kullanıldı.
Kaspersky araştırmacıları, Rhysida’nın hızlı bir şekilde gelişme kabiliyeti kanıtlanmış bir hizmet olarak fidye yazılımı (RaaS) operasyonu olarak çalıştığını bildirdi.
“Benzersiz kendi kendini silme mekanizması ve Microsoft’un Windows 10 öncesi sürümleriyle uyumluluğuyla öne çıkıyor. Kaspersky grup hakkındaki bulgularında C++ ile yazılan ve MinGW ve paylaşılan kütüphanelerle derlenen Rhysida’nın tasarımında gelişmişlik sergilediğini ifade etti. “Nispeten yeni olmasına rağmen Rhysida, soğan sunucusuyla ilk yapılandırma zorluklarıyla karşı karşıya kaldı ve bu durum grubun hızlı adaptasyon ve öğrenme sürecini ortaya koyuyor eğri.”
Kaspersky ekibi, PIX’i hedef alan fidye yazılımı kampanyasının Aralık 2022’den bu yana devam ettiğini belirterek, ödeme sistemi kullanıcılarını hedeflemek için Rhysida’nın Lumar adlı ücretsiz bir hizmet olarak kötü amaçlı yazılım (MaaS) bilgi hırsızlığıyla birlikte dağıtıldığını ekledi.
Raporda Lumar’ın ilk olarak Temmuz 2023’te ortaya çıktığı ve Telegram oturumları, şifreler, çerezler, otomatik doldurma bilgileri, masaüstü dosyaları ve hatta kriptografik cüzdanlarla ilgili verileri çalabildiği belirtildi.
Kaspersky ekibi özellikle Lumar hırsızının işlevsellikten ödün vermeden kompakt olduğunu söyledi.
Raporda, “Kötü amaçlı yazılımın verimli veri toplaması, üç ayrı iş parçacığının kullanılmasıyla kolaylaştırılıyor” diye eklendi. “Kötü amaçlı yazılımın yazarı tarafından Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak barındırılan C2, istatistikler ve veri günlükleri gibi kullanıcı dostu özellikler sağlıyor. Kullanıcılar Lumar’ın en son sürümünü indirebilir ve gelen veriler için Telegram bildirimleri alabilir.”