Cybersikkerhedsforskere hos Cybereason har afsløret, at en af de seneste varianter af den berygtede DJVU ransomware, døbt Xaro, bruger cracket software som sin distributionsvektor. Det er værd at bemærke, at dette ikke er det første tilfælde af DJVU også kendt som STOP Ransomware ved hjælp af cracket software at overgive sig til ofrene.
Xaro ransomware udnytter intetanende ofre ved at forklæde sig selv i tilsyneladende harmløse arkivfiler hentet fra tvivlsomme platforme, der forklæder sig som legitime freeware-udbydere. Den vildledende taktik involverer at udgive sig for at være et websted, der tilbyder freeware, lokker brugere til at downloade, hvad der ser ud til at være et godartet installationsprogram til CutePDF, en populær PDF-skrivesoftware.
PrivateLoader Brugt i kampagnen
Ved åbning af arkivet, det formodede CutePDF-installationsprogram udløser aktiveringen af PrivateLoader, en betal-pr-install-malware-downloader-tjeneste. PrivateLoader etablerer en forbindelse med en kommando-og-kontrol-server, initiering af download af en række malware-familier, herunder berygtede informationstyve som RedLine Stealer og Vidar, samt potente læssere som SmokeLoader og Nymaim.
Et karakteristisk kendetegn ved dette angreb er dets “haglgeværtilgang,” hvor flere malware-stammer implementeres samtidigt. Denne strategiske taktik sikrer angrebets succes, selvom en nyttelast detekteres og blokeres af konventionelle sikkerhedsforanstaltninger. Det mangfoldige udvalg af malware-familier, hver med unikke egenskaber, understreger kompleksiteten af trusselslandskabet.
Tro mod sin ransomware natur, Xaro krypterer ikke kun filer inden for den inficerede vært, men implementerer også en forekomst af Vidar infostealer. Denne dobbelt-trussel tilgang har til formål at maksimere indvirkningen på målrettede systemer, kombinerer filkryptering til afpresningsformål med informationstyveri for potentielle dobbelt afpresning scenarier.
Ved kryptering af filer, Xaro udsteder en løsesum, kræve betaling af $980 til den private nøgle og dekrypteringsværktøjet. Især, dette løsesum halveres til $490 hvis offeret kontakter trusselsaktøren indenfor 72 timer, tilføjer en følelse af, at det haster med afpresningsforsøget.
Risikoen ved freeware fra upålidelige kilder
Denne angrebskæde tjener som en skarp påmindelse om de risici, der er forbundet med at downloade freeware fra upålidelige kilder. Mens trusselsaktører i stigende grad foretrækker freeware som en skjult leveringsmetode for ondsindet kode, både brugere og virksomheder skal være på udkig og vedtage strenge cybersikkerhedsforanstaltninger at forsvare sig imod udviklende ransomware-strategier.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: