Güvenlik araştırmacıları ilk olarak Lunalock’u Eylül 2025’in başlarında, bağımsız illüstratörleri ve dijital sanatçıları hedefleyen sofistike bir fidye yazılımı gerginliği gözlemledi.
Meydan okulu kimlik bilgilerinden ve sosyal mühendislikten yararlanan Lunalock’un arkasındaki grup, serbest yaratıcıların özel komisyonlar alışverişinde bulunduğu bir niş pazarda – sanatçılar ve müşteriler – sıfırlandı.
İlk saldırı, telif hakkı bildirimleri olarak gizlenmiş mızrak-aktı kampanyaları, kurbanları truva ‘fatura’ eklerini indirmeye cazip hale getirdi.
Bir kez yürütüldükten sonra, yük bir dayanak oluşturur ve hızlı şifrelemeye hazırlanırken sanat varlıklarının ve müşteri veritabanlarının keşiflerine başlar.
Venarix analistleri, sanatçı iş istasyonlarından gelen olağandışı giden HTTP isteklerini kitle dosya şifreleme zamanlaması ile ilişkilendirdikten sonra Lunalock’un çok aşamalı dağıtımını belirledi.
Telemetrileri, kötü amaçlı yazılımın, Microsoft ekiplerinden ve Slack istemcilerinden kullanıcı belirteçlerini çıkardığını ve paylaşılan tasarım depoları ve proje yönetimi platformlarında yanal harekete izin verdiğini ortaya koydu.
Mağdurlar, Monero’da ödeme talep eden bir fidye notu eşliğinde dosya adlarına eklenen benzersiz bir “.lunalock” uzantısına sahip şifreli kaynak PSD ve AI dosyalarını rapor ediyor.
.webp)
Fidye yazılımının etkisi veri şifrelemesinin ötesine uzanır: çalınan sanat eseri, kurbanlar şifre çözme anahtarları almadan ve çift kaldıraç oluşturmadan önce bir uzaktan komut ve kontrol sunucusuna eklenir.
Herkese açık olarak açıklanan örnekler, ağ yayılımı, kimlik bilgisi hırsızlığı ve uç nokta algılama sistemlerinin kaçınması için eklentiler içeren modüler bir mimari göstermektedir.
Dikkate değer bir inovasyon, Hizmet Kontrol Yöneticisi’ne enjekte ederek Windows Defender gerçek zamanlı tarama işlemlerini devre dışı bırakan minifiye bir JavaScript modülünün entegrasyonudur.
Enfeksiyon mekanizması
Lunalock’un enfeksiyon mekanizmasına derin bir dalış, Win32 API’si statik analizden kaçınmak için çağrıları dinamik olarak çözen özel bir yükleyiciyi ortaya çıkarır.
Yürütme üzerine, yükleyici, XOR tabanlı bir gizleme anahtarı kullanarak IAT ve API adlarını yeniden yapılandırmak için kendi PE başlığını ayrıştırır. Çözme işlevi uygulandıktan sonra, ana yük diske dokunmadan belleğe eşlenir:
// Dynamic API resolution snippet
BYTE obfName[] = {0x5F,0x23,0xA7,0x19}; // XOR key
for (DWORD i = 0; i < nameLen; ++i) {
nameBuf[i] = obfName[i] ^ encName[i];
}
HMODULE hMod = LoadLibraryA("kernel32.dll");
FARPROC pFunc = GetProcAddress(hMod, nameBuf);Kararın ardından Lunalock, her yeniden başlatmada yürütülmeyi sağlayarak “Sysupdate” adlı gizli planlanmış bir görev oluşturarak kalıcılık oluşturur.
Yükleyici daha sonra C2 sunucusunu HTTPS aracılığıyla sinyal verir ve eşlenmiş ağ sürücüleri arasında AES-256 şifrelemesini başlatmadan önce başarılı dağıtımını onaylar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.