DJVU ランサムウェアの亜種 Xaro がクラックされたソフトウェアに隠れる

Cybereason のサイバーセキュリティ研究者は、悪名高い DJVU ランサムウェアの最新亜種の 1 つを発見しました。, 吹き替え シャロ, クラックされたソフトウェアを配布ベクトルとして利用している. これが DJVU としても知られる最初のケースではないことは注目に値します。 クラックされたソフトウェアを使用したランサムウェアを阻止する 被害者に届けるために.

Xaro ランサムウェアは、正規のフリーウェア プロバイダーを装った、疑わしいプラットフォームから取得された一見無害なアーカイブ ファイル内に自身を偽装することで、無防備な被害者を利用します。. この詐欺的な戦術には、フリーウェアを提供するサイトを装うことが含まれます, CutePDF の無害なインストーラーのように見えるものをダウンロードするようユーザーを誘導する, 人気の PDF 書き込みソフトウェア.

キャンペーンで使用されるPrivateLoader

アーカイブを開いたところ, 想定される CutePDF インストーラーが PrivateLoader のアクティブ化をトリガーします, インストールごとに支払うマルウェア ダウンローダー サービス. PrivateLoader はコマンド アンド コントロール サーバーとの接続を確立します, さまざまなマルウェア ファミリのダウンロードを開始する, などの悪名高い情報窃盗者も含まれます。 レッドライン・スティーラー と ヴィダル, SmokeLoader や Nymaim などの強力なローダーと同様に.

この攻撃の特徴は、 “ショットガンアプローチ,” 複数のマルウェア株が同時に展開される. この戦略的戦術は攻撃の成功を保証します, たとえ 1 つのペイロードが検出され、従来のセキュリティ対策によってブロックされたとしても. 多様なマルウェア ファミリ, それぞれが独自の機能を備えています, 脅威の状況の複雑さを浮き彫りにします.

ランサムウェアの性質に忠実, Xaro は、感染したホスト内のファイルを暗号化するだけでなく、Vidar infostealer のインスタンスを展開します。. この二重の脅威アプローチは、標的となるシステムへの影響を最大化することを目的としています。, 恐喝目的のファイル暗号化と潜在的な情報盗難の組み合わせ 二重恐喝 シナリオ.

ファイル暗号化時, Xaro が身代金メモを発行, ～の支払いを要求する $980 秘密鍵と復号化ツール用. 特に, この身代金の額は半分になります $490 被害者が内部で脅威アクターと接触した場合 72 時間, 恐喝の試みに緊迫感を与える.

信頼できないソースからのフリーウェアのリスク

この攻撃チェーンは、信頼できないソースからフリーウェアをダウンロードすることに伴うリスクをはっきりと思い出させるものとして機能します。. 脅威アクターは、悪意のあるコードを秘密裏に配信する方法としてフリーウェアをますます好むようになります。, ユーザーも企業も同様に警戒し、厳しいサイバーセキュリティ対策を講じて防御する必要があります。 進化するランサムウェア戦略.