Uzmanlar tehlikeli yeni bir kötü amaçlı yazılım tespit etti (yeni sekmede açılır) internette dolaşmayı, kurbanın hassas verilerini çalmayı ve hatta bazı durumlarda fidye yazılımını dağıtmayı zorlaştırıyor.
Evil Extractor adlı kötü amaçlı yazılım, bulgularını bir dergide yayınlayan Fortinet’teki siber güvenlik araştırmacıları tarafından keşfedildi. Blog yazısı (yeni sekmede açılır)Kodex adlı bir şirket tarafından geliştirilip dağıtıldığını ve bir “eğitim aracı” olarak tanıtıldığını belirtiyor.
Araştırmacılar, “FortiGuard Labs, bu kötü amaçlı yazılımı 30 Mart’ta bir kimlik avı e-posta kampanyasında gözlemledi ve bu blogda yer alan örneklere kadar izini sürdük” dedi. “Genellikle bir Adobe PDF veya Dropbox dosyası gibi meşru bir dosya gibi davranır, ancak yüklendikten sonra PowerShell kötü amaçlı etkinliklerinden yararlanmaya başlar.”
Tespitten kaçınma
Bu kötü amaçlı etkinlikler, bir ortam analiz aracı ve bir bilgi hırsızı içerir. Bu şekilde, kötü amaçlı yazılım, uç noktadan olabildiğince çok hassas bilgi alıp tehdit aktörünün FTP sunucusuna göndermeden önce bir bal küpünde konuşlandırılmadığından emin olur. Aynı zamanda fidye yazılımı yeteneklerine de sahiptir.
Kodex Ransomware adlı araç, evilextractor’dan zzyy.zip dosyasını indirir[.]Dosyaları “-p” parametresiyle şifreleyen yürütülebilir bir dosya olan 7za.exe’yi taşıyan com, yani dosyalar bir parolayla sıkıştırılır.
Her zamanki gibi, kötü amaçlı yazılım daha sonra şifre çözme anahtarı karşılığında Bitcoin olarak 1.000 $ talep eden bir fidye notu bırakır. “Aksi takdirde dosyalarınıza sonsuza kadar ulaşamazsınız” mesajı okur.
Kötü amaçlı yazılımın çoğunlukla Batı’daki kurbanları hedef aldığı söylendi. Fortinet, “Kötü amaçlı yazılımın bir kurbanın sistemine enjekte edilen bir sürümünü yakın zamanda inceledik ve bu analizin bir parçası olarak kurbanlarının çoğunun Avrupa ve Amerika’da bulunduğunu belirledik” diyor.
Operatörlerin fidye yazılımını herhangi bir yere başarılı bir şekilde yerleştirmeyi başarabildiklerini veya bugüne kadar kaç kurbanları olabileceğini bilmiyoruz.
Aracılığıyla: Bilgi Güvenliği Dergisi (yeni sekmede açılır)