Araştırmacılar, artık önceki “.mallox” uzantısı yerine “.malox” dosya uzantısını ekleyen Mallox fidye yazılımının değiştirilmiş bir sürümünü keşfettiler.
Cyble Research and Intelligence Labs (CRIL) araştırmacıları, önceki yöntemin aksine, bu yeni varyasyonun bir indiricinin uzak bir sunucudan fidye yazılımı yükünü getirmesini gerektirmediğini buldu.
Bunun yerine, yük, bir toplu komut dosyasına gömülür ve diske kaydedilmeden “MSBuild.exe”ye enjekte edilir.
Bu fidye yazılımı varyantı, Uzaktan Erişim Truva Atları (RAT’ler) ve hırsızların dağıtımına benzer şekilde BatLoader’ı kullanır.
Cyber Express daha önce Mallox fidye yazılımındaki artış ve Hindistan ticaret kuruluşu FICCI ve AddWeb Solution dahil olmak üzere son kurbanları hakkında rapor vermişti.
Mallox Ransomware: Yeni enfeksiyon yöntemi
İlk bulaşma, kullanıcılar spam e-postadaki bir eki tıkladığında gerçekleşir. Ek, BatLoader’ı uzak bir sunucudan indiren yürütülebilir bir dosya olabilir veya BatLoader’ı doğrudan içerebilir.
Bu durumda kullanılan toplu komut dosyası, rastgele dizilerde tanımlanan çeşitli değişkenler kullanılarak gizlenmiştir. Bu değişkenler, komutları yürütmek için birleştirme yoluyla birleştirilir.
CRIL raporu, “Önceki bulaştırma yönteminin aksine, bu yöntem, bir indiricinin uzak bir sunucudan fidye yazılımı yükünü alması ihtiyacını ortadan kaldırıyor” dedi.
“Bunun yerine, fidye yazılımı yükü, daha sonra diske kaydetmeden “MSBuild.exe”ye enjekte edilen bir toplu komut dosyasında bulunur.”
Toplu komut dosyasının bir bölümü, belirli bir değişkenin tanımlanıp tanımlanmadığını kontrol eder. Tanımlanmamışsa değişkeni ayarlar, küçültülmüş bir pencerede aynı toplu komut dosyasını başlatır ve ardından komut dosyasının önceki örneğinden çıkar.
Komut dosyasındaki başka bir komut, PowerShell adlı bir programı farklı bir adla yeni bir dosyaya kopyalar. Ayrıca bu dosya için belirli öznitelikleri ayarlar.
Toplu komut dosyası ayrıca, kopyalanan PowerShell programını çalıştıran ve programa parametre olarak bazı kodlanmış içerik sağlayan bir komutu yürütür.
Bu kodlanmış içerik, BatLoader’dan fidye yazılımı yükünü ayıklamaktan sorumlu olan PowerShell dilinde yazılmış bir betiktir. PowerShell komut dosyası, BatLoader’ı belirli kod satırları için tarar ve bunlardan belirli bilgileri çıkarır.
PowerShell betiği, geçici bir dizine “killerrr.bat” adlı başka bir toplu betiği de bırakır. Bu “killerrr.bat” betiği, virüs bulaşmış bilgisayardaki işlemleri, hizmetleri durdurmak, hizmetleri devre dışı bırakmak ve hizmetleri silmek gibi çeşitli işlemleri gerçekleştirmek için tasarlanmıştır. Ayrıca belirli dizinleri de siler.
PowerShell betiği, Mallox fidye yazılımı programını dinamik olarak yükler ve onu MSBuild.exe adlı başka bir programa enjekte eder. Bu enjeksiyon, fidye yazılımının MSBuild.exe programı içinde çalışmasına izin vererek tespit edilmesini ve kaldırılmasını zorlaştırır.
Mallox fidye yazılımı: Etki ve Öneriler
CRIL raporunda “Bugüne kadar, Mallox fidye yazılımı 15’ten fazla ülkeden 20’den fazla kurbanın ayrıntılarını kamuya açıkladı, en çok hedef alınan ülke Hindistan oldu ve onu Amerika Birleşik Devletleri izledi” dedi.
:Mallox fidye yazılımından etkilenen kurbanların çoğu İmalat, Enerji ve Kamu Hizmetleri sektörlerine, BT ve ITES’e ve Profesyonel Hizmetler Sektörlerine aittir.
CRIL raporu, fidye yazılımı saldırılarına karşı savunmaları güçlendirmek için aşağıdaki tavsiyelerde bulundu:
Verileri düzenli olarak yedekleyin ve çevrimdışı veya ayrı ağ yedekleri tutun.
Bilgisayarlarda, mobil cihazlarda ve bağlı cihazlarda otomatik yazılım güncellemelerini etkinleştirin.
Tüm bağlı cihazlarda saygın antivirüs ve internet güvenlik yazılımı kullanın.
Güvenilmeyen bağlantıları ve e-posta eklerini açarken dikkatli olun ve devam etmeden önce orijinalliklerini doğrulayın.
Sistemlere zaten fidye yazılımı bulaşmışsa, güvenlik ekibi şunları yapmalıdır:
Etkilenen cihazların ağ bağlantısını kesin.
Bağlı olabilecek tüm harici depolama cihazlarının bağlantısını kesin.
Şüpheli olaylar için sistem günlüklerini inceleyin.