Cybersecurity-onderzoekers van Cybereason hebben ontdekt dat dit een van de nieuwste varianten is van de beruchte DJVU-ransomware, nagesynchroniseerde Xaro, gebruikt gekraakte software als distributievector. Het is vermeldenswaard dat dit niet het eerste geval is van DJVU, ook wel bekend als STOP Ransomware die gekraakte software gebruikt zichzelf aan de slachtoffers over te leveren.
De Xaro-ransomware maakt misbruik van nietsvermoedende slachtoffers door zichzelf te vermommen in ogenschijnlijk onschuldige archiefbestanden afkomstig van dubieuze platforms die zich voordoen als legitieme freeware-aanbieders. Deze misleidende tactiek bestaat erin zich voor te doen als een site die freeware aanbiedt, gebruikers ertoe verleiden een schijnbaar goedaardig installatieprogramma voor CutePDF te downloaden, een populaire PDF-schrijfsoftware.
PrivateLoader gebruikt in de campagne
Bij het openen van het archief, het veronderstelde CutePDF-installatieprogramma activeert PrivateLoader, een pay-per-install-malware-downloadservice. PrivateLoader brengt een verbinding tot stand met een command-and-control-server, het starten van het downloaden van verschillende malwarefamilies, inclusief beruchte informatiestelers zoals RedLine-stealer en Vidar, evenals krachtige laders zoals SmokeLoader en Nymaim.
Een onderscheidend kenmerk van deze aanval is de “jachtgeweer aanpak,” waarbij meerdere malwaresoorten tegelijkertijd worden ingezet. Deze strategische tactiek zorgt voor het succes van de aanval, zelfs als één lading wordt gedetecteerd en geblokkeerd door conventionele beveiligingsmaatregelen. Het gevarieerde aanbod aan malwarefamilies, elk met unieke mogelijkheden, onderstreept de complexiteit van het dreigingslandschap.
Trouw aan het ransomware-karakter ervan, Xaro codeert niet alleen bestanden binnen de geïnfecteerde host, maar zet ook een exemplaar van de Vidar-infostealer in. Deze benadering met dubbele dreiging heeft tot doel de impact op gerichte systemen te maximaliseren, het combineren van bestandsversleuteling voor afpersingsdoeleinden met mogelijke informatiediefstal dubbele afpersing scenario's.
Bij het coderen van bestanden, Xaro geeft een losgeldbrief uit, een betaling eisen van $980 voor de privésleutel en decryptortool. Opmerkelijk, dit losgeldbedrag wordt gehalveerd $490 als het slachtoffer contact opneemt met de dreigingsacteur binnenin 72 uur, het toevoegen van een gevoel van urgentie aan de afpersingspoging.
De risico's van freeware van onbetrouwbare bronnen
Deze aanvalsketen herinnert ons duidelijk aan de risico's die gepaard gaan met het downloaden van freeware van onbetrouwbare bronnen. Terwijl bedreigingsactoren steeds vaker de voorkeur geven aan freeware als een geheime leveringsmethode voor kwaadaardige code, zowel gebruikers als bedrijven moeten op hun hoede zijn en strenge cyberbeveiligingsmaatregelen nemen om zich hiertegen te verdedigen evoluerende ransomware-strategieën.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: