Хакери, провеждащи нова финансово мотивирана кампания, използват вариант на стоковия рансъмуер Xortist, наречен MortalKombat, заедно със софтуера Laplas при кибератаки.

И двете инфекции със зловреден софтуер се използват за извършване на финансови измами, като рансъмуерът се използва за изнудване на жертвите да получат декриптор, а Laplas за присвояване на криптовалута чрез кражба на крипто транзакции.

Laplas е крадец на криптовалута, пуснат миналата година, който следи клипборда на Windows за крипто адреси и когато бъде открит, ги замества с адреси под контрола на нападателя. Що се отнася до MortalKombat, експертите на Cisco Talos казват, че новият рансъмуер е базиран на фамилията стокови рансъмуери Xorist, която използва създател, който позволява на участниците в заплахата да персонализират зловреден софтуер. Xorist може да се дешифрира безплатно от 2016 г.

Атаките, наблюдавани от изследователите на Talos, са фокусирани главно върху Съединените щати, като някои жертви се намират във Великобритания, Турция и Филипините.

Имейлът със злонамерен ZIP прикачен файл, съдържа скрипт за зареждане на BAT, който изтегля втори архив от отдалечен ресурс. Този архив разполага с един от двата файла на зловреден софтуер. Скриптът за зареждане ще изпълни изтегления полезен товар като процес в компрометираната система и след това ще изтрие изтеглените файлове, за да сведе до минимум шансовете за откриване.

На свой ред MortalKombat е вариант на Xorist рансъмуер, открит за първи път през януари 2023 г., кръстен на популярната бойна видеоигра и включващ бележка за откуп, придружавана от изображения от прочутата поредица. Анализаторите на Talos съобщават, че конкретният рансъмуер не е много усъвършенстван, тъй като ще е насочен и към системни файлове и приложения, които обикновено се избягват, за да се предотврати нестабилността на системата.

„Talos забеляза, че MortalKombat криптира различни файлове във файловата система на машината на жертвата, като система, приложение, база данни, архивиране и файлове на виртуална машина, както и файлове на отдалечени местоположения, картографирани като логически устройства в машината на жертвата“, се казва в доклада.

„После изтрива бележката за откуп и променя тапета на машината на жертвата при процеса на криптиране.“

Изображението действа и като бележка за откуп, като инструктира жертвата да използва базираното на qTOX Tor приложение за незабавни съобщения, за да преговаря с киберпрестъпниците, които искат плащане в биткойни. Нападателят също предоставя имейл адрес на ProtonMail, ако жертвата има проблеми с регистрирането на нов акаунт в qTOX.

Въпреки че MortalKombat не разполага с функция за цялостно заличаване на твърдия диск, той поврежда системни папки като кошчето, така че жертвите не могат да извличат файлове оттам, деактивира командния прозорец на Windows Run и премахва всички записи от стартирането на Windows.

Снимка: Warner Bros./NetherRealm

Виж още: Хакери използваха 30 000 компютъра за рекордна зловредна атака