Hi!请登陆

新的“MortalKombat”勒索软件针对美国的系统

2023-2-15 94 2/15

新的“MortalKombat”勒索软件针对美国的系统

开展新的出于经济动机的活动的黑客在网络攻击中使用名为“MortalKombat”的 Xortist 商品勒索软件的变体以及 Laplas clipper。

这两种恶意软件感染都用于进行金融欺诈,勒索软件用于勒索受害者接收解密器,Laplas 用于通过劫持加密交易来窃取加密货币。

Laplas 是去年发布的加密货币劫持者,它监控 Windows 剪贴板中的加密地址,并在发现时用它们替换攻击者控制的地址。

至于 MortalKombat,Cisco Talos 表示新的勒索软件基于 Xorist 商品勒索软件系列,该系列利用一个构建器让威胁行为者自定义恶意软件。 Xorist 自 2016 年以来一直可以免费解密。

新的“MortalKombat”勒索软件针对美国的系统
Xorist 和 MortalKombat 之间的代码相似性 (Cisco)

Talos 研究人员观察到的攻击主要集中在美国,英国、土耳其和菲律宾也有一些受害者。

新的“MortalKombat”勒索软件针对美国的系统
受害者热图 (Cisco)

网络钓鱼攻击

该电子邮件包含恶意 ZIP 附件,其中包含 BAT 加载程序脚本,可从远程资源下载第二个存档。 此存档包含两个恶意软件负载之一。

加载器脚本将在受感染系统中将下载的有效负载作为一个进程执行,然后删除下载的文件以最大限度地减少检测的机会。

新的“MortalKombat”勒索软件针对美国的系统
网络钓鱼电子邮件示例 (Cisco)

电子邮件带有恶意 ZIP 附件,其中包含 BAT 加载程序脚本,打开后会从远程资源下载第二个存档。 此存档包含两个恶意软件负载之一。

加载器脚本会将下载的有效负载作为受感染系统中的一个进程执行,然后删除下载的文件以最大限度地减少检测机会。

新的“MortalKombat”勒索软件针对美国的系统
活动的感染流 (思科)

真人快打勒索软件

MortalKombat 是一种 Xorist 勒索软件变体,于 2023 年 1 月首次被发现,以流行的格斗视频游戏命名,并带有赎金票据/壁纸,其中包括该系列的艺术作品。

Talos 分析师报告说,特定的勒索软件并不十分复杂,因为它也会以系统文件和应用程序为目标,通常会避免这些文件和应用程序以防止系统变得不稳定。

新的“MortalKombat”勒索软件针对美国的系统
勒索软件针对的所有文件类型 (Cisco)

“Talos 观察到 MortalKombat 加密了受害者机器文件系统上的各种文件,例如系统、应用程序、数据库、备份和虚拟机文件,以及映射为受害者机器逻辑驱动器的远程位置上的文件,” 描述报告。

“它会在加密过程中删除勒索字条并更改受害机器的墙纸。”

新的“MortalKombat”勒索软件针对美国的系统
壁纸上的勒索字条 (Cisco)

壁纸还充当赎金票据,指示受害者使用基于 qTOX Tor 的即时消息应用程序与要求使用比特币付款的网络犯罪分子进行谈判。

如果受害者无法在 qTOX 上注册新帐户,攻击者还会提供一个 ProtonMail 电子邮件地址。

虽然 MortalKombat 不具备擦除器功能,但它会破坏系统文件夹(如回收站),使受害者无法从那里检索文件,禁用 Windows 运行命令窗口,并从 Windows 启动中删除所有条目。

新的“MortalKombat”勒索软件针对美国的系统
损坏的回收站 (Cisco)

此外,勒索软件会破坏 Windows 注册表,创建一个运行注册表项(“Alcmeter”)以保持持久性,同时删除 HKEY_CLASSES_ROOT 注册表配置单元中已安装应用程序的根注册表项。

HKEY_CLASSES_ROOT 配置单元存储有关文件关联、命令和用于每种文件类型的图标的信息,因此删除这些条目意味着应用程序无法再运行。

思科的分析师不知道 MortalKombat 勒索软件的运行模式是什么,也不知道它是单独威胁参与者的自定义变种还是卖给了 Laplas 等其他网络犯罪分子。

Tag:

相关推荐