- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Специалисты Cisco Talos отслеживают неизвестную группировку, которая развернула MortalKombat, а также разработала новое вредоносное ПО для кражи криптовалюты под названием Laplas Clipper. Большинство жертв кампании были в США. Исследователи Cisco связали с кампанией два URL-адреса, один из которых ведет к C2-серверу в Польше.
MortalKombat впервые была обнаружена в январе 2023 года, и на данный момент о ее разработчиках и операционной модели ничего не известно. По словам аналитиков, название программы-вымогателя и обои, которые она сбрасывает на систему-жертву, являются отсылкой к медиа-франшизе Mortal Kombat.
Программа-вымогатель шифрует различные файлы в системе жертвы:
- системные файлы;
- файлы приложений;
- файлы базы данных, резервных копий и виртуальных машин;
- файлы в удаленных местах, отображаемые как логические диски.
Другие атаки кампании начинаются с фишинговых писем, к которым прилагается ZIP-архив. При открытии вредоносное ПО Laplas Clipper или программа-вымогатель MortalKombat развертываются, а затем удаляются, чтобы замести следы и затруднить анализ.
В одном электронном письме хакеры выдавали себя за криптовалютную платформу CoinPayments. В письме ZIP-архив якобы содержал информацию о конкретной транзакции, побуждая жертву открыть его. При открытии архива запускается MortalKombat, меняет обои компьютера жертвы, приводит к сбою проводника Windows и удаляет некоторые приложения.
По словам исследователей, помимо других соответствий, сходство в коде указывает на то, что программа-вымогатель принадлежит к семейству Xorist, существующее с 2010 года. Простота настройки Xorist позволяет киберпреступникам создавать новые варианты с другими именами, расширениями файлов и записками о выкупе.
Наряду с MortalKombat исследователи обнаружили вредоносное ПО Laplas Clipper, которое они ранее идентифицировали в атаке в ноябре 2022 года. В отличие от стандартных клиперов, которые просто меняют скопированный адрес кошелька получателя на адрес злоумышленника, Laplas Clipper использует адрес, очень похожий на тот, который скопировал пользователь. Этот процесс происходит на сервере злоумышленника, поэтому точный механизм остается неизвестным.
Примерно за неделю количество образцов Laplas Clipper выросло с 20 до 55 в день в конце октября. Тогда исследователи заключили, что Laplas Clipper распространяется через Smoke Loader и Raccoon Stealer, что указывает на повышенной внимание сообщества киберпреступников к этой программе. Разработчики MortalKombat и Laplas Clipper заявили в Telegram, что они делают новые варианты Laplas Clipper и планируют выпустить обновления в ближайшие месяцы.