Er is waargenomen dat een variant van een ransomware-soort, bekend als DJVU, wordt verspreid in de vorm van gekraakte software.
“Hoewel dit aanvalspatroon niet nieuw is, zijn er incidenten waargenomen waarbij een DJVU-variant die de .xaro-extensie aan getroffen bestanden toevoegt en losgeld eist voor een decryptor, systemen infecteert naast een groot aantal verschillende commodity-loaders en infostealers”, zegt Cybereason-beveiligingsonderzoeker Ralph Villanueva. gezegd.
De nieuwe variant heeft van het Amerikaanse cybersecuritybedrijf de codenaam Xaro gekregen.
DJVU, op zichzelf een variant van de STOP-ransomware, verschijnt doorgaans op het toneel en doet zich voor als legitieme services of applicaties. Het wordt ook geleverd als payload van SmokeLoader.
Een belangrijk aspect van DJVU-aanvallen is de inzet van aanvullende malware, zoals informatiestelers (bijvoorbeeld RedLine Stealer en Vidar), waardoor deze schadelijker van aard worden.
In de nieuwste aanvalsketen die door Cybereason is gedocumenteerd, wordt Xaro verspreid als een archiefbestand van een dubieuze bron die zich voordoet als een site die legitieme freeware aanbiedt.
Het openen van het archiefbestand leidt tot de uitvoering van een zogenaamd binair installatiebestand voor een PDF-schrijfsoftware genaamd CutePDF, die in werkelijkheid een pay-per-install malware-downloaderservice is die bekend staat als PrivateLoader.
PrivateLoader maakt op zijn beurt contact met een command-and-control (C2)-server om een breed scala aan stealer- en loader-malwarefamilies op te halen, zoals RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig en Fabookie, naast het laten vallen van Xaro.
“Deze shotgun-aanpak bij het downloaden en uitvoeren van gewone malware wordt vaak waargenomen bij PrivateLoader-infecties die afkomstig zijn van verdachte freeware of gekraakte softwaresites”, legt Villanueva uit.
Het doel lijkt te zijn om gevoelige informatie te verzamelen en te exfiltreren voor dubbele afpersing en om het succes van de aanval te garanderen, zelfs als een van de ladingen wordt geblokkeerd door beveiligingssoftware.
Xaro kan niet alleen een exemplaar van de Vidar-infostealer voortbrengen, maar ook bestanden op de geïnfecteerde host versleutelen voordat hij een losgeldbriefje laat vallen, waarbij hij het slachtoffer aanspoort contact op te nemen met de bedreigingsacteur om $ 980 te betalen voor de privésleutel en de decryptortool. een prijs die met 50% daalt tot $ 490 als deze binnen 72 uur wordt benaderd.
De activiteit illustreert in ieder geval de risico’s die gepaard gaan met het downloaden van freeware van onbetrouwbare bronnen. Vorige maand heeft Sucuri een andere campagne beschreven, FakeUpdateRU genaamd, waarbij bezoekers van gecompromitteerde websites valse browserupdatemeldingen te zien krijgen om RedLine Stealer te leveren.
“Het is bekend dat bedreigingsactoren de voorkeur geven aan het vermommen van freeware als een manier om heimelijk kwaadaardige code in te zetten”, aldus Villanueva. “De snelheid en omvang van de impact op geïnfecteerde machines moeten zorgvuldig worden begrepen door bedrijfsnetwerken die zichzelf en hun gegevens willen verdedigen.”
