Os hackers que conduzem uma nova campanha motivada financeiramente estão usando uma variante do ransomware de commodities Xortist chamado 'MortalKombat', juntamente com o clipper Laplas em ataques cibernéticos.
Ambas as infecções por malware são usadas para conduzir fraudes financeiras, com o ransomware usado para extorquir as vítimas para receber um descriptografador e o Laplas para roubar criptomoedas sequestrando transações criptográficas.
Laplas é um sequestrador de criptomoeda lançado no ano passado que monitora a área de transferência do Windows em busca de endereços criptográficos e, quando encontrados, os substitui por endereços sob o controle do invasor.
Quanto ao MortalKombat, a Cisco Talos diz que o novo ransomware é baseado na família de ransomware Xorist, que utiliza um construtor que permite que os agentes de ameaças personalizem o malware. O Xorist pode ser descriptografado gratuitamente desde 2016.
Semelhanças de código entre Xorist e MortalKombat (Cisco)
Os ataques observados pelos pesquisadores do Talos se concentraram principalmente nos Estados Unidos, com algumas vítimas também no Reino Unido, Turquia e Filipinas.
Ataques de phishing
O e-mail contém um anexo ZIP malicioso contendo um script de carregador BAT que baixa um segundo arquivo de um recurso remoto. Este arquivo contém uma das duas cargas de malware.
O script do carregador executará a carga baixada como um processo no sistema comprometido e, em seguida, excluirá os arquivos baixados para minimizar as chances de detecção.
A mensagem de e-mail carrega um anexo ZIP malicioso que contém um script de carregador BAT que, quando aberto, baixa um segundo arquivo de um recurso remoto. Este arquivo contém uma das duas cargas de malware.
O script do carregador executará a carga baixada como um processo no sistema comprometido e, em seguida, excluirá os arquivos baixados para minimizar as chances de detecção.
MortalKombat é uma variante de ransomware xorista descoberta pela primeira vez em janeiro de 2023, batizada em homenagem ao popular videogame de luta e apresentando uma nota de resgate/papel de parede que inclui arte da franquia.
Os analistas do Talos relatam que o ransomware específico não é muito sofisticado, pois também visa arquivos e aplicativos do sistema, que geralmente são evitados para evitar que o sistema se torne instável.
"Talos observou que o MortalKombat criptografa vários arquivos no sistema de arquivos da máquina vítima, como sistema, aplicativo, banco de dados, backup e arquivos da máquina virtual, bem como arquivos em locais remotos mapeados como unidades lógicas na máquina da vítima", descreve o relatório. .
"Ele elimina a nota de resgate e altera o papel de parede da máquina da vítima durante o processo de criptografia."
O papel de parede também funciona como uma nota de resgate, instruindo a vítima a usar o aplicativo de mensagens instantâneas baseado em qTOX Tor para negociar com os cibercriminosos que exigem pagamento em Bitcoin.
O invasor também fornece um endereço de e-mail do ProtonMail se a vítima tiver problemas para registrar uma nova conta no qTOX.
Embora o MortalKombat não possua a funcionalidade de limpeza, ele corrompe pastas do sistema como a Lixeira para que as vítimas não possam recuperar arquivos de lá, desativa a janela de comando Executar do Windows e remove todas as entradas da inicialização do Windows.
Além disso, o ransomware mexe com o registro do Windows, criando uma chave de registro Run ("Alcmeter") para persistência enquanto exclui a chave de registro raiz do aplicativo instalado na seção de registro HKEY_CLASSES_ROOT.
A seção HKEY_CLASSES_ROOT armazena informações sobre associações de arquivos, comandos e ícones usados para cada tipo de arquivo, portanto, excluir essas entradas significa que os aplicativos não podem mais funcionar.
Os analistas da Cisco não sabem qual é o modelo operacional do ransomware MortalKombat e se é uma variedade personalizada de um agente de ameaça solitário ou se é vendido a outros cibercriminosos como Laplas.
