Célkeresztben a kriptovaluta befektetők! Így lopja a kriptókat a legújabb malware

Célkeresztben a kriptovaluta befektetők! Így lopja a kriptókat a legújabb malware zsarolóprogram

2022 decembere óta a két rosszindulatú fájl, a MortalKombat zsarolóprogram (ransomware) és Laplas Clipper rosszindulatú szoftver (malware), aktívan fürkészik az internetet, és kriptovalutákat lopnak el az óvatlan befektetőktől.

A Malwarebytes malware-ellenes szoftver két új, ismeretlen forrásból terjedő rosszindulatú számítógépes programot fedezett fel, amelyek a számítógépet használó befektetőket veszi célba.
A szóban forgó két rosszindulatú fájl, a MortalKombat ransomware és a Laplas Clipper malware, ami sorra szedi áldozatait az elmúz hónapokban – derült ki a Cisco Talos fenyegetéskutató csapat adataiból.

Célkeresztben a kriptovaluta befektetők! Így lopja a kriptókat a legújabb malware
Forrás: Cisco Talos

A kampány áldozatai túlnyomórészt az Egyesült Államokban találhatók, kisebb arányban az Egyesült Királyságban, Törökországban és a Fülöp-szigeteken, ahogy a fenti térképen is látható látható.
A rosszindulatú szoftverek együttműködnek, hogy lecsapjanak a felhasználó vágólapján tárolt információkra, amelyek általában a felhasználó által bemásolt betű- és számsorok. A fertőzés ezután felismeri a vágólapra másolt pénztárcacímeket, és más címekre cseréli azokat.

A támadás arra támaszkodik, hogy a felhasználó nem figyel a feladó pénztárcájának címére, ami a kriptovalutákat az ismeretlen támadónak küldené. Mivel nincs nyilvánvaló célpont, a támadás magánszemélyekre, valamint kisebb és nagyobb szervezetekre terjed ki.

Magyarországon eddig nem jelent meg, vagy nem jelentettek hasonló esetet, de ez nem zárja ki azt, hogy az európai országokban is elterjedjen.

Kapcsolódó:

Célkeresztben a kriptovaluta befektetők! Így lopja a kriptókat a legújabb malware
Forrás: Cisco Talos

A fertőzést követően a MortalKombat zsarolóprogram titkosítja a felhasználó fájljait, és a fenti képen látható módon egy fizetési utasításokat tartalmazó váltságdíjkérő üzenetet dob fel. A Talos jelentése a támadási kampányhoz kapcsolódó letöltési linkeket (URL-eket) felfedve a következőket állapította meg:

„Egyikük csatlakozik a támadó által kezelt szerverre a 193[.]169[.]255[.]78-as IP-címen keresztül, amely Lengyelországban található, és onnan tölti le a MortalKombat zsarolóprogramot. A Talos elemzése szerint a 193[.]169[.]255[.]78 egy RDP crawlert futtat, amely az internetet a 3389-es, szabadon lévő RDP-portok után kutat”.

A Malwarebytes magyarázata szerint a „tag-team kampány” egy kriptovaluta témájú, rosszindulatú csatolmányt tartalmazó e-maillel indul. A csatolmány egy BAT fájlt futtat, amely megnyitásakor segít letölteni és futtatni a zsarolóprogramot.

A nagy potenciállal rendelkező rosszindulatú szoftverek korai felismerésének köszönhetően a befektetők proaktívan megakadályozhatják, hogy ez a támadás hatással legyen a pénzügyi jólétükre. Mint mindig, azt tanácsoljuk a befektetőknek, hogy befektetés előtt végezzenek széleskörű átvilágítást, miközben megbizonyosodnak a kommunikáció hivatalos forrásáról.

Mivel a zsarolóprogramok áldozatai továbbra is elutasítják a zsarolási követeléseket, a támadók zsarolóprogramokból származó bevételei 40%-kal 456,8 millió dollárra zuhantak 2022-ben.

zsarolóprogramok
Forrás: Chainalysis

A Chainalysis az információk nyilvánosságra hozatalakor megjegyezte, hogy a számok nem feltétlenül jelentik azt, hogy a támadások száma csökkent az előző évhez képest.

Forrás: cointelegraph.com

 

Még több cikk