Siber güvenlik uzmanları tarafından özellikle Elon Musk’un hedeflediği ve alaycı taraftarları hedefleyen ve alaycı bir fidye yazılımı kampanyası.
Sis fidye yazılımının bir çeşidi olarak tanımlanan saldırı, kötü amaçlı kodunu yürütmek için çok aşamalı PowerShell komut dosyaları ve netliküre barındırılan yükler kullanır.
Bu kampanya, finansal motivasyonu hicivli yorumlarla birleştiren politik temalı kötü amaçlı yazılımlarda ilgili bir evrimi temsil etmektedir.
.png
)
Fidye yazılımı, DOGE kripto para birimi ile ilişkili olduğu iddia edilen “Edward Coristine” adlı bir kişiyi taklit eden olağandışı fidye notu ile kendini ayırır.
.webp)
Tuhaf bir bükülmede, not hükümet e -posta adreslerini teknik destek kişileri olarak listeler ve Musk destekçilerine yönelik hiciv içeriği içerir.
Yürütme üzerine, kötü amaçlı yazılım, hem dikkat dağıtıcı tekniği hem de parodik doğasının pekiştirilmesi olarak hizmet veren Elon Musk ile alay eden bir YouTube videosu başlatır.
KrakenLabs araştırmacıları, bir dizi enfeksiyonu izledikten sonra kampanyayı, yanıltıcı “ödeme ayarlaması” başlıklarına sahip PDF ekleri içeren kimlik avı e -postalarına kadar izledikten sonra belirlediler.
Saldırı, .lnk dosya damlası ve PowerShell infazının birden fazla aşamasını içeren sofistike bir zincir kullanıyor ve bu da belirli grupları hedefleyen teknik yetenek ve psikolojik manipülasyon karışımını gösteriyor.
Tam enfeksiyon zinciri, konserde çalışan birden fazla bileşeni içerir. İlk uzlaşma, netleştirin barındırılmış bir zip arşivine bağlanan bir kimlik avı PDF ile başlar ve daha sonra saldırıyı düzenleyen “Pay.ps1” ile başlayan bir PowerShell komut dosyaları zincirini kullanır.
Çekirdek yükte “CWIPER.EXE” (gerçek fidye yazılımı bileşeni), “KTool.exe” (çekirdek seviyesi erişim için Intel BYOVD tekniği kullanılması) ve keşif için özel PowerShell komut dosyalarını içerir.
Hiciv sunumuna rağmen, bir Monero kripto para cüzdanının varlığı, saldırının trolleme kaplamasının altındaki finansal motivasyonunu doğrular.
Siyasi alaylarla maskelenen bu çift amaçlı yaklaşım-finansal kazanç, fidye yazılımı taktiklerinde ideolojik cephelerin arkasındaki cezai niyeti gizlemeye çalışan ortaya çıkan bir eğilimi temsil ediyor.
Enfeksiyon mekanizması detayları
Enfeksiyon, kurbanlar ödeme ayarlama bilgileri içerdiği iddia edilen bir kimlik avı PDF açtıklarında başlar.
.webp)
Bu belge, kötü niyetli yüklerin depolandığı bir NetLify ile barındırılan etki alanına (komik-trifle-d9182e.netlify.app) bağlanır.
İlk PowerShell betiği (“Pay.ps1”), “Stage1.ps1”-birincil düzenleme bileşenini indirip yürüten birinci aşama yükleyici görevi görür.
Bu komut dosyası, kalan modüllerin dağıtılmasından ve kalıcılık oluşturmaktan sorumludur.
# Simplified representation of the obfuscation method used in trackerjacker.ps1
$encoded = "XOR-obfuscated payload data"
$key = "KrakenObserved2025"
$decoded = for($i=0; $i -lt $encoded. Length; $i++) {
$encoded[$i] -bxor $key[$i % $key. Length]
}
Invoke-Expression([System.Text.Encoding]::ASCII.GetString($decoded))Teknik açıdan en sofistike bileşen, tespitten kaçınmak için XOR tabanlı gizleme kullanan “TrackerJacker.ps1” dir.
Deobfuscation’dan sonra, bu komut dosyası sistem keşfi yaparken, “LOotsubmit.ps1”, coğrafi konum veri toplama için Wigle API’sinden yararlanır.
Gerçek şifrelemeyi gerçekleştiren “CWIPER.EXE” ve meşru Intel sürücüleri aracılığıyla çekirdek seviyesi erişim sağlayan “KTool.exe” ile birlikte, bu saldırı hicivli cephesinin arkasında ilgili bir teknik karmaşıklık gösteriyor.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers