Mali amaçlı yeni bir kampanya yürüten bilgisayar korsanları, siber saldırılarda Laplas kırpıcı ile birlikte ‘MortalKombat’ adlı Xortist emtia fidye yazılımının bir çeşidini kullanıyor.
Her iki kötü amaçlı yazılım bulaşması da mali dolandırıcılık yapmak için kullanılır; fidye yazılımı, kurbanları bir şifre çözücü almak için zorla almak için kullanılır ve Laplas, kripto işlemlerini ele geçirerek kripto para birimini çalmak için kullanılır.
Laplas, Windows panosunu kripto adresleri için izleyen ve bulunduğunda saldırganın kontrolündeki adreslerin yerine geçen, geçen yıl piyasaya sürülen bir kripto para korsanı.
MortalKombat’a gelince, Cisco Talos, yeni fidye yazılımının, tehdit aktörlerinin kötü amaçlı yazılımı özelleştirmesine izin veren bir oluşturucu kullanan Xorist emtia fidye yazılımı ailesini temel aldığını söylüyor. Xorist, 2016’dan beri ücretsiz olarak şifresini çözebilir.
Talos araştırmacıları tarafından gözlemlenen saldırılar, Birleşik Krallık, Türkiye ve Filipinler’de de bazı kurbanlar olmak üzere, esas olarak Amerika Birleşik Devletleri’ne odaklandı.
Kimlik avı saldırıları
E-posta, uzak bir kaynaktan ikinci bir arşiv indiren bir BAT yükleyici komut dosyası içeren kötü amaçlı bir ZIP eki içeriyor. Bu arşiv, iki kötü amaçlı yazılım yükünden birini içerir.
Yükleyici betiği, indirilen yükü güvenliği ihlal edilmiş sistemde bir süreç olarak yürütecek ve ardından tespit şansını en aza indirmek için indirilen dosyaları silecektir.
E-posta mesajı, açıldığında uzak bir kaynaktan ikinci bir arşiv indiren bir BAT yükleyici komut dosyası içeren kötü amaçlı bir ZIP eki taşır. Bu arşiv, iki kötü amaçlı yazılım yükünden birini içerir.
Yükleyici komut dosyası, indirilen yükü güvenliği ihlal edilmiş sistemde bir işlem olarak yürütecek ve ardından tespit şansını en aza indirmek için indirilen dosyaları silecektir.
MortalKombat fidye yazılımı
MortalKombat, ilk olarak Ocak 2023’te keşfedilen, adını popüler dövüş video oyunundan alan ve seriden sanat eserlerini içeren bir fidye notu/duvar kağıdı içeren bir Xorist fidye yazılımı çeşididir.
Talos analistleri, söz konusu fidye yazılımının çok karmaşık olmadığını, çünkü sistemin kararsız hale gelmesini önlemek için genellikle kaçınılan sistem dosyalarını ve uygulamalarını da hedefleyeceğini bildiriyor.
Raporda, “Talos, MortalKombat’ın kurban makinenin dosya sistemindeki sistem, uygulama, veritabanı, yedekleme ve sanal makine dosyaları gibi çeşitli dosyaları ve ayrıca kurbanın makinesinde mantıksal sürücüler olarak eşlenen uzak konumlardaki dosyaları şifrelediğini gözlemledi.” .
“Fidye notunu düşürür ve şifreleme işlemi sırasında kurban makinenin duvar kağıdını değiştirir.”
Duvar kağıdı aynı zamanda kurbana Bitcoin ile ödeme talep eden siber suçlularla pazarlık yapmak için qTOX Tor tabanlı anlık mesajlaşma uygulamasını kullanma talimatını veren bir fidye notu görevi de görür.
Saldırgan, kurban qTOX’ta yeni bir hesap açarken sorun yaşarsa bir ProtonMail e-posta adresi de sağlar.
MortalKombat, silme işlevine sahip olmasa da, Geri Dönüşüm Kutusu gibi sistem klasörlerini bozarak kurbanların oradan dosya alamamasını sağlar, Windows Çalıştır komut penceresini devre dışı bırakır ve Windows başlangıcındaki tüm girdileri kaldırır.
Ayrıca, fidye yazılımı Windows kayıt defteriyle oynayarak, yüklü uygulamanın HKEY_CLASSES_ROOT kayıt defteri kovanındaki kök kayıt defteri anahtarını silerken kalıcılık için bir Run kayıt defteri anahtarı (“Alcmeter”) oluşturur.
HKEY_CLASSES_ROOT kovanı, her dosya türü için kullanılan dosya ilişkilendirmeleri, komutlar ve simgeler hakkındaki bilgileri depolar, dolayısıyla bu girişlerin silinmesi, uygulamaların artık çalışamayacağı anlamına gelir.
Cisco’nun analistleri, MortalKombat fidye yazılımının operasyonel modelinin ne olduğunu ve bunun tek bir tehdit aktörünün özel türü mü yoksa Laplas gibi diğer siber suçlulara mı satıldığını bilmiyor.