“ShadowRoot” adlı bir fidye yazılımı türünün Türk işletmelerini hedef aldığı tespit edildi kimlik avı saldırıları.
Kimlik avı e-postaları, gömülü kötü amaçlı bağlantılar içeren bir fatura olarak gizlenmiş bir PDF eki içerir. Kullanıcı etkileşimi üzerine, bu, tehlikeye atılmış bir GitHub hesabında barındırılan bir RootDesign.exe dosyasının indirilmesini tetikler.
İndirilen dosya bir Delphi ikili dosyasıdır ve exe’yi analiz eden Forcepoint araştırmacılarına göre, daha fazla yük düşürüyor: “C:\TheDream\RootDesign.exe,” “C:\TheDream\Uninstall.exe” ve “C:\TheDream\Uninstall.ini”.
“RootDesign.exe tarafından tekrarlayan kendi kendine işlem yaratıldığını gözlemledik, bu da dosyaların birden fazla kez şifrelenmesine ve bunun sonucunda daha yüksek bellek tüketimine neden oluyor,” araştırmacılar dedi ki“Ayrıca şifrelenmiş dosyaların birçok kopyasını köke bırakır.”
Fidye yazılımının “ilkel” göründüğünü ve büyük ihtimalle deneyimsiz bir geliştiriciye ait olduğunu da ekliyorlar.
Araştırmacılar, kullanıcıların savunma konusunda bilinçlendirilmesinin yanı sıra Shadowroot tehdit aktörleri tarafından hedef alınmamak için aşağıdaki e-posta adreslerinin engellenmesini öneriyor:
-
Kurumsal[.]tasilat[@]internet[.]ru
-
ran_master_as[@]proton[.]Ben
-
lasmuruk[@]posta çiti[.]com