勒索软件 MortalKombat和 Laplas Clipper,彼此勾结,对峙不断
发布时间:2023-03-02 10:45:23 所属栏目:安全 来源:
导读:自从 2022 年 12 月来,研究人员观察到一个身份不明的攻击者通过 MortalKombat 勒索软件和 Laplas Clipper 恶意软件来窃取加密货币。
攻击链
攻击从钓鱼邮件开始,多阶段逐步投递勒索软件或者恶意软件。电子邮件
攻击链
攻击从钓鱼邮件开始,多阶段逐步投递勒索软件或者恶意软件。电子邮件
|
自从 2022 年 12 月来,研究人员观察到一个身份不明的攻击者通过 MortalKombat 勒索软件和 Laplas Clipper 恶意软件来窃取加密货币。 攻击链 攻击从钓鱼邮件开始,多阶段逐步投递勒索软件或者恶意软件。电子邮件附件 ZIP 文件中包含 BAT 脚本,下载另一个压缩文件就会释放 Laplas Clipper 恶意软件的 Go 变种或是 MortalKombat 勒索软件。 恶意邮件 攻击者在钓鱼邮件中冒充合法的全球加密货币支付提供商 CoinPayments,邮件主题为 CoinPayments.net Payment Timed Out且发件人为 noreply[at]CoinPayments.net。恶意 ZIP 文件中附带了邮件正文中提到的交易 ID,引诱收件人在收件时解压压缩文件查看其所要发送的文件内容。 钓鱼邮件 BAT 脚本 BAT 脚本使用无文件攻击从攻击者控制的下载服务器下载恶意 ZIP 文件,释放名为 file.pdf.exe的恶意可执行文件。BAT 脚本会使用 Windows 命令启动释放的恶意软件,并把下载的文件与 load一起删除。 勒索信息与壁纸 攻击者使用 qTOX 与受害者进行通信,其 ID 为 DA639EF141F3E3C35EA62FF284200C29FA2E7E597EF150FDD526F9891CED372CBB9AB7B8BEC8。此外,还提供了电子邮件地址 hack3dlikeapro[at]proton[.]me作为代替。 Laplas Clipper 窃密木马 Laplas Clipper 是 2022 年 11 月首次发现的窃密木马,其属于 Clipper 恶意软件家族。Laplas Clipper 会使用正则表达式来监控失陷主机的剪贴板,将钱包地址发送给攻击者。攻击者将一个相似的钱包地址复盖到失陷主机的剪贴板上,进行欺诈交易。 Laplas Clipper 的开发人员正在积极开发新物种。2022 年 12 月 20 日,开发人员在 Telegram 频道中宣布 C++ 编写的新变种面世并以 EXE 和 DLL 的形式提供。 另一个 IP 地址 144[.]76[.]136[.]153 从关联的 transfer[.]sh 服务器下载 Laplas Clipper,攻击中使用的 Laplas Clipper 与绑定在 clipper[.]guru 的 Clipper 进行通信。 MortalKombat 勒索软件技术分析 MortalKombat 勒索软件是一个 32 位 Windows 可执行文件,会使用随机文件名将自身复制到本地用户配置文件的应用程序临时文件夹中,分析时的名为 E7OKC9s3llhAD13.exe。 MortalKombat 将创建时间修改为 Wednesday, September 7, 2022, 8:06:35 PM,但尚不能确定硬编码时间的意义。 目标扩展名 勒索软件通过创建名为 Alcmeter 的注册表项,并在本地用户配置文件的应用程序临时文件夹中添加勒索软件可执行文件的路径来进行持久化。 创建的注册表键值对 MortalKombat 检查所有文件,根据扩展列表来进行匹配。匹配成功,加密文件的扩展名即为 ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware。同时,每个文件夹中都会创建赎金勒索文件 HOW TO DECRYPT FILES.txt。 失陷主机的回收站 最后,勒索软会删除应用程序与文件夹,清除相关痕迹。与文件夹,清除相关痕迹。在这种情况下,您可以通过使用windows安全更新来解决问题。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐