Ερευνητές ανακάλυψαν μια νέα malspam
email εκστρατεία, η οποία στοχεύει στη διανομή του Cyborg ransomware στα
μηχανήματα των θυμάτων.
Πώς λειτουργεί η malspam εκστρατεία
Τα θύματα λαμβάνουν ένα spam email, το οποίο υποτίθεται ότι
προέρχεται από τη Microsoft. Το email αναφέρει ότι πρέπει να γίνει,
άμεσα, εγκατάσταση της τελευταίας ενημέρωσης των Windows (Microsoft
Windows Update). Περιλαμβάνει μάλιστα ένα συνημμένο αρχείο, μέσω του
οποίου οι χρήστες μπορούν να κάνουν την ενημέρωση.
Φυσικά, πρόκειται για ένα ψεύτικο συνημμένο, το οποίο έχει ένα
τυχαίο όνομα και την επέκταση αρχείου “.jpg“. Στην πραγματικότητα, είναι
ένα κακόβουλο εκτελέσιμο μεγέθους 28KB. Αν οι χρήστες ανοίξουν το
συνημμένο (όπως τους λέει το email), θα τρέξει ένα κακόβουλο .NET
downloader, το οποίο στη συνέχεια θα εγκαταστήσει ένα άλλο κακόβουλο
λογισμικό στους υπολογιστές των θυμάτων.
Οι ερευνητές βρήκαν το Strings section, το οποίο τους βοήθησε να
καταλάβουν κάποια πράγματα για το εκτελέσιμο. Αυτό που παρατήρησαν,
είναι ότι η υποτιθέμενη ενημέρωση της Microsoft κατεβάζει ένα άλλο
εκτελέσιμο αρχείο από το GitHub.
Η παραπάνω διαδικασία καταλήγει στην εγκατάσταση του Cyborg
ransomware. Η επιτυχής εκτέλεση του ransomware έχει ως αποτέλεσμα την
κρυπτογράφηση των αρχείων του μολυσμένου συστήματος. Οι ερευνητές
παρατήρησαν ότι το Cyborg τοποθετεί στα κρυπτογραφημένα αρχεία την
επέκταση “.777”.
Αφού ολοκληρωθεί η διαδικασία κρυπτογράφησης, το Cyborg ransomware
εμφανίζει στην επιφάνεια εργασίας των θυμάτων το μήνυμα με το οποίο τα
ενημερώνει για την επίθεση και για το χρηματικό ποσό που πρέπει να
δώσουν. Στις περισσότερες περιπτώσεις, οι hackers ζητούσαν 500 δολάρια
για την αποκρυπτογράφηση των αρχείων. Τα χρήματα θα έπρεπε να
μεταφερθούν στο bitcoin wallet, που αναφερόταν στο μήνυμα.
Οι ερευνητές της Trustwave, που ερεύνησαν την υπόθεση, βρήκαν και
άλλα 3 δείγματα του Cyborg ransomware και παρατήρησαν ότι: “Η επέκταση
αρχείων που προστίθεται στα κρυπτογραφημένα αρχεία ποικίλει. Αυτό
αποτελεί ένδειξη ότι υπάρχει ένα builder για αυτό το ransomware”.
“Το Ransomware μπορεί να δημιουργηθεί και να εξαπλωθεί από
οποιονδήποτε αποκτήσει πρόσβαση στο builder”, είπαν οι ερευνητές. Όσο
πιο πειστικά spam emails χρησιμοποιούνται στις εκστρατείες τόσο πιο
πιθανό είναι να μολυνθούν τα συστήματα των θυμάτων από το Cyborg
ransomware.
Πηγή: SecNews
madata.gr
