Siber Muhbir

Cybereason güvenlik araştırmacısı Ralph Villanueva, "Bu saldırı modeli yeni olmasa da, etkilenen dosyalara .xaro uzantısını ekleyen ve bir şifre çözücü için fidye talep eden bir DJVU varyantını içeren olayların, bir dizi çeşitli emtia yükleyici ve bilgi hırsızının yanı sıra sistemlere bulaştığı gözlemlendi" dedi.

Yeni varyant, Amerikan siber güvenlik firması tarafından Xaro olarak kodlandı.

DJVU, kendi içinde, STOP fidye yazılımının bir çeşididir ve genellikle meşru hizmetler veya uygulamalar gibi görünerek sahneye gelir. Ayrıca SmokeLoader'ın bir yükü olarak teslim edilir.

DJVU saldırılarının önemli bir yönü, bilgi hırsızları (örneğin, RedLine Stealer ve Vidar) gibi ek kötü amaçlı yazılımların konuşlandırılması ve bu da onları doğası gereği daha zararlı hale getirmesidir.

Cybereason tarafından belgelenen en son saldırı zincirinde Xaro, meşru ücretsiz yazılım sunan bir site gibi görünen şüpheli bir kaynaktan gelen bir arşiv dosyası olarak yayılıyor.

Arşiv dosyasının açılması, gerçekte PrivateLoader olarak bilinen yükleme başına ödemeli bir kötü amaçlı yazılım indirme hizmeti olan CutePDF adlı bir PDF yazma yazılımı için sözde bir yükleyici ikili dosyasının yürütülmesine yol açar.

PrivateLoader, Xaro'yu bırakmanın yanı sıra RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig ve Fabookie gibi çok çeşitli hırsız ve yükleyici kötü amaçlı yazılım ailelerini getirmek için bir komuta ve kontrol (C2) sunucusuyla iletişim kurar.

Villanueva, "Emtia kötü amaçlı yazılımlarının indirilmesine ve yürütülmesine yönelik bu av tüfeği yaklaşımı, şüpheli ücretsiz yazılım veya crackli yazılım sitelerinden kaynaklanan PrivateLoader enfeksiyonlarında yaygın olarak gözlemleniyor" dedi.

Amaç, çifte gasp için hassas bilgileri toplamak ve sızdırmak ve ayrıca yüklerden biri güvenlik yazılımı tarafından engellense bile saldırının başarısını sağlamak gibi görünüyor.

Xaro, Vidar bilgi hırsızının bir örneğini oluşturmanın yanı sıra, bir fidye notu bırakmadan önce virüslü ana bilgisayardaki dosyaları şifreleyebilir ve kurbanı özel anahtar ve şifre çözme aracı için 980 dolar ödemek üzere tehdit aktörüyle temasa geçmeye çağırır, bu fiyat 72 saat içinde yaklaşılırsa %50 düşerek 490 dolara düşer.

Bir şey varsa, etkinlik, güvenilmeyen kaynaklardan ücretsiz yazılım indirmenin risklerini gösterir. Geçen ay Sucuri, güvenliği ihlal edilmiş web sitelerinin ziyaretçilerine RedLine Stealer'ı teslim etmek için sahte tarayıcı güncelleme bildirimlerinin sunulduğu FakeUpdateRU adlı başka bir kampanyayı detaylandırdı.

Villanueva, "Tehdit aktörlerinin, kötü amaçlı kodu gizlice dağıtmanın bir yolu olarak maskelenen ücretsiz yazılımları tercih ettiği biliniyor" dedi. "Virüslü makineler üzerindeki etkinin hızı ve genişliği, kendilerini ve verilerini savunmak isteyen kurumsal ağlar tarafından dikkatlice anlaşılmalıdır."