Το λογισμικό κατά του κακόβουλου λογισμικού Malwarebytes τόνισε δύο νέα κακόβουλα προγράμματα υπολογιστών που διαδίδονται από άγνωστες πηγές και στοχεύουν ενεργά επενδυτές κρυπτογράφησης σε περιβάλλον επιτραπέζιου υπολογιστή.
Από τον Δεκέμβριο του 2022, τα δύο εν λόγω κακόβουλα αρχεία — το MortalKombat ransomware και το Laplas Clipper — αναζητούν ενεργά το διαδίκτυο και κλέβουν κρυπτονομίσματα από απρόσεκτους επενδυτές, αποκάλυψε η ερευνητική ομάδα πληροφοριών απειλών, Cisco Talos. Τα θύματα της εκστρατείας βρίσκονται κυρίως στις Ηνωμένες Πολιτείες, με μικρότερο ποσοστό θυμάτων στο Ηνωμένο Βασίλειο, την Τουρκία και τις Φιλιππίνες, όπως φαίνεται παρακάτω.
Το κακόβουλο λογισμικό λειτουργεί σε συνεργασία για την απόσπαση πληροφοριών που είναι αποθηκευμένες στο πρόχειρο του χρήστη, το οποίο είναι συνήθως μια σειρά από γράμματα και αριθμούς που αντιγράφονται από τον χρήστη. Στη συνέχεια, η μόλυνση εντοπίζει τις διευθύνσεις πορτοφολιού που έχουν αντιγραφεί στο πρόχειρο και τις αντικαθιστά με μια διαφορετική διεύθυνση.
Η επίθεση βασίζεται στην απροσεξία του χρήστη στη διεύθυνση πορτοφολιού του αποστολέα, η οποία θα έστελνε τα κρυπτονομίσματα στον αγνώστου ταυτότητας εισβολέα. Χωρίς προφανή στόχο, η επίθεση εκτείνεται σε άτομα και μικρούς και μεγάλους οργανισμούς.
Μόλις μολυνθεί, το ransomware MortalKombat κρυπτογραφεί τα αρχεία του χρήστη και ρίχνει ένα σημείωμα λύτρων με οδηγίες πληρωμής, όπως φαίνεται παραπάνω. Αποκαλύπτοντας τους συνδέσμους λήψης (URL) που σχετίζονται με την εκστρατεία επίθεσης, Talos' αναφέρουν δηλωθείς:
«Ένας από αυτούς φτάνει σε έναν διακομιστή που ελέγχεται από εισβολείς μέσω της διεύθυνσης IP 193[.]169[.]255[.]78, με έδρα την Πολωνία, για να κατεβάσει το ransomware MortalKombat. Σύμφωνα με την ανάλυση του Talos, το 193[.]169[.]255[.]78 εκτελεί έναν ανιχνευτή RDP, που σαρώνει το διαδίκτυο για εκτεθειμένη θύρα RDP 3389.
As εξήγησε από την Malwarebytes, η "εκστρατεία ομάδας ετικετών" ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου με θέμα τα κρυπτονομίσματα που περιέχει ένα κακόβουλο συνημμένο. Το συνημμένο εκτελεί ένα αρχείο BAT που βοηθά στη λήψη και την εκτέλεση του ransomware όταν ανοίγει.
Χάρη στον έγκαιρο εντοπισμό κακόβουλου λογισμικού με υψηλές δυνατότητες, οι επενδυτές μπορούν να αποτρέψουν προληπτικά αυτή την επίθεση από το να επηρεάσει την οικονομική τους ευημερία. Όπως πάντα, η Cointelegraph συμβουλεύει τους επενδυτές να πραγματοποιούν εκτεταμένη δέουσα επιμέλεια πριν επενδύσουν, διασφαλίζοντας παράλληλα την επίσημη πηγή επικοινωνίας. Δείτε αυτό το άρθρο του περιοδικού Cointelegraph για να μάθετε πώς να διατηρήσετε ασφαλή περιουσιακά στοιχεία κρυπτογράφησης.
Συγγενεύων: Το Υπουργείο Δικαιοσύνης των ΗΠΑ κατάσχεσε τον ιστότοπο της παραγωγικής συμμορίας ransomware Hive
Από την άλλη πλευρά, καθώς τα θύματα ransomware συνεχίζουν να αρνούνται τις απαιτήσεις εκβιασμού, Τα έσοδα από ransomware για εισβολείς μειώθηκαν κατά 40% στα 456.8 εκατομμύρια δολάρια το 2022.
Ενώ αποκάλυψε τις πληροφορίες, η Chainalysis σημείωσε ότι τα στοιχεία δεν σημαίνουν απαραίτητα ότι ο αριθμός των επιθέσεων είναι μειωμένος από το προηγούμενο έτος.
Πηγή: https://cointelegraph.com/news/crypto-investors-under-attack-by-two-new-malware-reveals-cisco-talos