Knight fidye yazılımı, TripAdvisor şikayetleriymiş gibi davranan, devam eden bir spam kampanyasında dağıtılıyor.
Knight fidye yazılımı, Temmuz 2023’ün sonunda adını değiştiren Cyclop Ransomware-as-a-Service’in yeni bir markasıdır.
Cyclops ve Knight fidye yazılımı kimdir?
Cyclops fidye yazılımı operasyonu, operatörlerin RAMP bilgisayar korsanlığı forumunda yeni hizmet olarak fidye yazılımı (RaaS) için üyeler toplamaya başladığı Mayıs 2023’te başladı.
Uptycs tarafından hazırlanan bir rapor, operasyonun Windows, macOS ve Linux/ESXi için şifreleyicilerle başladığını açıklıyor. Operasyon ayrıca, Windows ve Linux için normalde RaaS operasyonlarında görülmeyen, bilgi çalan kötü amaçlı yazılımlar da sunuyor.
Kaynak: BleepingComputer
Operasyon, normal şifreleyicilerine ek olarak, çok sayıda hedeflenen kullanıcıyı hedefleyen spam ve dua et ve püskürt, toplu dağıtım kampanyalarında kullanılmak üzere ‘hafif’ bir sürüm sunuyor. Bu sürüm, kurbanlarla pazarlık yapmak yerine sabit bir fidye miktarı kullanıyor gibi görünüyor.
Temmuz ayının sonunda Cyclops, Knight olarak yeniden markalaştı ve ayrıca lite şifreleyiciyi “toplu dağıtımı” destekleyecek şekilde güncellediklerini ve yeni bir veri sızıntısı sitesi başlattıklarını belirtti.
Eski Cyclops ve yeni Knight veri sızıntısı sitelerinde bir duyuru, “Yeni panelimizi güncelledik ve adımızı resmi olarak Knight olarak değiştirdik. (Her türden) ortaklar arıyoruz!!!”
“Toplu dağıtımı desteklemek için lite sürümünü de güncelledik.”
Şu anda Knight veri sızıntısı sitesinde sızdırılan herhangi bir kurban veya çalıntı dosya yok.
Knight spam kampanyası
Bu hafta, Sophos araştırmacısı Felix, TripAdvisor şikayetleriymiş gibi davranan ancak bunun yerine Knight fidye yazılımını dağıtan yeni bir spam kampanyası tespit etti.
Gerçek e-postalar paylaşılmasa da Felix, e-postaların ‘TripAdvisor Şikayeti – Olası Askıya Alma.exe’ adlı yürütülebilir dosyayı içeren ‘TripAdvisorComplaint.zip’ adlı ZIP dosyası ekleri içerdiğini söyledi. [VirusTotal].
BleepingComputer tarafından tespit edilen ve analiz edilen bu kampanyanın daha yeni bir versiyonu artık ‘TripAdvisor-Complaint-‘ adlı bir HTML eki içeriyor.[random].PDF.htm’ [VirusTotal].
HTML dosyası açıldığında, TripAdvisor’a bir tarayıcı penceresi gibi görünen şeyi açmak için Mr.D0x’in Tarayıcıda Tarayıcı kimlik avı tekniğini kullanır.
Bu sahte tarayıcı penceresi, bir restorana gönderilen ve kullanıcıdan şikayeti incelemesini isteyen bir şikayet gibi görünüyor. Ancak, ‘Şikayeti Oku’ düğmesine tıklandığında ‘TripAdvisor_Complaint-Possible-Suspension.xll’ adlı bir Excel XLL dosyası indirilir. [VirusTotal]Aşağıda gösterildiği gibi.
Kaynak: BleepingComputer
Bu XLL dosyası, açıldığında kötü amaçlı yazılımı çalıştırmak için .NET’i Microsoft Excel’e entegre eden Excel-DNA kullanılarak oluşturulmuştur.
XLL’yi açtığınızda, Microsoft Excel, e-posta da dahil olmak üzere İnternetten indirilen dosyalara eklenen Web İşaretini (MoTW) algılar. MoTW’yi algılarsa, Excel belgesinde yerleşik olan .NET eklentisini etkinleştirmeyecek ve bir kullanıcı dosyanın engellemesini kaldırmadığı sürece saldırıyı geçersiz kılacaktır.
Ancak, dosyada MoTW bayrağı yoksa Excel, aşağıda gösterildiği gibi kullanıcıya eklentiyi etkinleştirmek isteyip istemediğini soracaktır.
Kaynak: BleepingComputer
Eklentinin etkinleştirilmesi, Knight Lite fidye yazılımı şifreleyicisinin yeni bir explorer.exe işlemine eklenmesine ve bilgisayarınızdaki dosyaları şifrelemeye başlamasına neden olur.
Dosyaları şifrelerken, .knight_l ‘l’ bölümünün muhtemelen ‘lite’ anlamına geldiği şifrelenmiş dosyaların adlarına uzantı.
Kaynak: BleepingComputer
Fidye yazılımı ayrıca şu adla bir fidye notu oluşturur: Files.txt Dosyanızı Nasıl Geri Yüklersiniz? bilgisayardaki her klasörde. Bu kampanyadaki fidye notu, listelenen bir Bitcoin adresine 5.000 $ gönderilmesini talep ediyor ve ayrıca Knight Tor sitesine bir bağlantı içeriyor.
Bununla birlikte, BleepingComputer tarafından görülen bu kampanyadaki her fidye notu, tehdit aktörünün hangi kurbanın fidye ödediğini belirlemesini imkansız hale getiren ’14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z’ ile aynı Bitcoin adresini kullanır.
Kaynak: BleepingComputer
Bu bir Knight Lite kampanyası olduğu için siteyi ziyaret ettiğinizde bir müzakere paneli görüntülenmiyor. Bunun yerine, kurbanların fidye talebini zaten ödemiş olması ve ardından brahma2023@onionmail.org adresinden satış ortağıyla iletişime geçmesi gerektiğini belirten bir mesaj gösteriyor.
Kaynak: BleepingComputer
Şu anda, bir fidye ödemenin Knight üyesinden bir şifre çözücü almasıyla sonuçlanıp sonuçlanmayacağı bilinmiyor.
Ayrıca, BleepingComputer tarafından görülen tüm fidye notları aynı Bitcoin adresini kullanır, bu da bir başkasının kendisininki gibi bir ödeme talep etmesini mümkün kılar, esasen ödemenizi çalar.
Bu nedenle, şifre çözücü almama ihtimaliniz yüksek olduğundan, bu kampanyada fidye ödemekten kaçınmanız şiddetle tavsiye edilir.