WannaCry fidye yazılımı taklitçisi Rus “Enlisted” FPS oyuncularını hedefliyor


kayıtlı

Bir fidye yazılımı operasyonu, oyunun truva atlı sürümlerini yaymak için sahte bir web sitesi kullanarak Enlisted çok oyunculu birinci şahıs nişancı oyununun Rus oyuncularını hedefliyor.

Enlisted, Gaijin Entertainment tarafından 2021’de yayınlanan ve aylık 500.000 ile bir milyon arasında aktif oyuncuya sahip yasal bir oyundur.

Oyun ücretsizdir, bu nedenle tehdit aktörleri yükleyiciyi yayıncıdan kolayca indirebilir ve şüphelenmeyen kullanıcılara kötü amaçlı yükler dağıtmak için değiştirebilir.

Oyun yükleyiciyle birlikte gelen fidye yazılımı, şifrelenmiş dosyalarda ‘.wncry’ dosya uzantısını kullanıyor olsa bile, kötü şöhretli WannaCry’ın üçüncü büyük sürümü gibi görünüyor.

Fidye yazılımına alındı

Cyble’ın suşu analiz eden araştırmacılarına göre, bu yeni “WannaCry” varyantı, elbette eğitim amaçlı yapılmış açık kaynaklı “Crypter” Python dolabına dayanıyor.

Bunun, muhtemelen kurbanların gözünü korkutmak ve hızlı bir fidye ödemesi almak için birisinin WannaCry’ı taklit etmeye çalıştığı ilk sefer değil.

Crypter fidye yazılımı yayan kötü amaçlı web sitesi
Crypter fidye yazılımı yayan kötü amaçlı web sitesi (bilgisayarın sesi)

Sahte web sitesinden indirilen yükleyici “enlisted_beta-v1.0.3.115.exe”dir ve çalıştırıldığında kullanıcının diskine “ENLIST~1” (gerçek oyun) ve “enlisted” (Python) adlı iki yürütülebilir dosya bırakır. fidye yazılımı başlatıcısı).

Trojenleştirilmiş yükleyiciyi çalıştırma
Trojenleştirilmiş yükleyiciyi çalıştırma (Cyble)

Fidye yazılımı, virüslü bilgisayarda birden çok çalışan örneği önlemek için başlatma sırasında bir muteks oluşturur.

Ardından, hangi dosya türlerinin hedeflendiğini, hangi dizinlerin atlanması gerektiğini, hangi fidye notunun oluşturulacağını, hangi cüzdan adresinin fidyeyi alacağını ve diğer saldırı parametrelerini belirleyen JSON yapılandırma dosyasını ayrıştırır.

Fidye yazılımının yapılandırma dosyası
Fidye yazılımının yapılandırma dosyası (Cyble)

Ardından, Crypter fidye yazılımı, şifreleme adımında kullanılacak bir “key.txt” dosyası için çalışma dizinini tarar ve yoksa, onu oluşturur.

Şifreleme, AES-256 algoritmasını kullanır ve tüm kilitli dosyalar “.wncry” dosya adı uzantısını alır.

İlginç bir şekilde, fidye yazılımı, modern kilitli dolaplarda standart bir uygulama olan işlemleri sonlandırmaya veya hizmetleri durdurmaya çalışmaz.

Ancak, kolay veri geri yüklemesini önlemek için Windows’tan gölge kopyaları silme ortak stratejisini izler.

Şifreleme işlemi tamamlandıktan sonra, fidye yazılımı fidye notunu özel bir GUI uygulamasında görüntüleyerek kurbana taleplere yanıt vermesi için üç gün verir.

GUI tabanlı fidye yazılımı notu
GUI tabanlı fidye yazılımı notu (Cyble)

Tehdit aktörleri ayrıca kurbanın antivirüs yazılımı GUI tabanlı fidye notunun başlatılmasını engellese bile mesajının iletilmesini sağlamak için kurbanın arka plan görüntüsünü değiştirir.

Kullanıcıyı enfeksiyon hakkında bilgilendiren arka plan
Kullanıcıyı enfeksiyon hakkında bilgilendiren arka plan (Cyble)

Saldırganlar bir Tor sitesi kullanmıyor veya kurbanlara güvenli bir sohbet bağlantısı sağlamıyor, bunun yerine iletişim için bir Telegram botu kullanıyor.

Rusya’daki popüler FPS oyunlarına yönelik ulusal yasaklar, yerel oyuncuları eğlence için başka yerlere bakmaya zorladı ve Enlisted, keşfedilen alternatiflerden biri.

Görünüşe göre tehdit aktörleri bu fırsatı değerlendirmişler ve benzer oyunlar için Rusya yerelleştirmesiyle başka sahte siteler oluşturmaları pek olası değil.



Source link