Μια επιχείρηση ransomware στοχεύει τους Ρώσους παίκτες του Enlisted multiplayer first-person shooter, χρησιμοποιώντας έναν ψεύτικο ιστότοπο για να εξαπλώσει trojanized εκδόσεις του παιχνιδιού.

Η Gaijin Entertainment δημοσίευσε το νόμιμο παιχνίδι Enlisted το 2021, με 500.000 έως ένα εκατομμύριο ενεργούς παίκτες μηνιαίως.

Το παιχνίδι είναι free, οπότε οι απειλητικοί φορείς θα μπορούσαν εύκολα να κατεβάσουν τον installer από τον publisher και να τον τροποποιήσουν για να διανείμουν κακόβουλα ωφέλιμα φορτία σε ανυποψίαστους χρήστες.

Το ransomware που συνοδεύει τον εγκαταστάτη του παιχνιδιού προσποιείται ότι είναι η τρίτη έκδοση του διαβόητου WannaCry, χρησιμοποιώντας μάλιστα την επέκταση αρχείου “.wncry” στα κρυπτογραφημένα αρχεία.

Δείτε επίσης: Ψεύτικα zero-day PoC exploits στο GitHub διασπείρουν Windows και Linux malware

Δείτε επίσης: Windows: Η επιδιόρθωση πυρήνα είναι απενεργοποιημένη από προεπιλογή

Στρατολογήθηκε σε ransomware

Σύμφωνα με τους ερευνητές της Cyble, οι οποίοι ανέλυσαν το στέλεχος, αυτή η νέα παραλλαγή του “WannaCry” βασίζεται στο open-source “Crypter” Python locker, το οποίο δημιουργήθηκε για εκπαιδευτικούς σκοπούς.

Θα πρέπει να σημειωθεί ότι δεν είναι η πρώτη φορά που κάποιος προσπαθεί να μιμηθεί το WannaCry, πιθανότατα σε μια προσπάθεια να εκφοβίσει τα θύματα και να εξασφαλίσει μια γρήγορη πληρωμή λύτρων.

Το πρόγραμμα εγκατάστασης που λήφθηκε από τον ψεύτικο ιστότοπο είναι το “enlisted_beta-v1.0.3.115.exe”, το οποίο ρίχνει δύο εκτελέσιμα αρχεία στο δίσκο του χρήστη εάν εκκινηθεί, συγκεκριμένα το “ENLIST~1” (το πραγματικό παιχνίδι) και το “enlisted” (η Python ransomware launcher).

Το ransomware δημιουργεί ένα mutex κατά την αρχικοποίηση για να αποφύγει την εκτέλεση πολλαπλών instances στον μολυσμένο υπολογιστή.

Στη συνέχεια, αναλύει το αρχείο ρυθμίσεων JSON, το οποίο καθορίζει ποιοι τύποι αρχείων στοχεύονται, ποιοι κατάλογοι πρέπει να παραλειφθούν, ποιο σημείωμα λύτρων να δημιουργηθεί, ποια διεύθυνση πορτοφολιού θα λάβει τα λύτρα και άλλες παραμέτρους επίθεσης.

Στη συνέχεια, το Crypter ransomware σαρώνει τον κατάλογο εργασίας για ένα αρχείο “key.txt” που θα χρησιμοποιηθεί στο βήμα κρυπτογράφησης και αν δεν υπάρχει, το δημιουργεί.

Η κρυπτογράφηση χρησιμοποιεί τον αλγόριθμο AES-256 και όλα τα κλειδωμένα αρχεία λαμβάνουν την επέκταση αρχείου “.wncry”.

Είναι ενδιαφέρον ότι το ransomware δεν επιχειρεί να τερματίσει διεργασίες ή να σταματήσει υπηρεσίες, κάτι που αποτελεί συνήθη πρακτική στα σύγχρονα lockers.

Ωστόσο, ακολουθεί την κοινή στρατηγική της διαγραφής των shadow copies από τα Windows, προκειμένου να αποφευχθεί η εύκολη αποκατάσταση δεδομένων.

Αφού ολοκληρωθεί η διαδικασία κρυπτογράφησης, το ransomware εμφανίζει το σημείωμα για τα λύτρα σε μια ειδική εφαρμογή GUI, δίνοντας στο θύμα τρεις ημέρες για να ανταποκριθεί στις απαιτήσεις.

Οι απειλητικοί φορείς τροποποιούν επίσης την εικόνα φόντου του θύματος για να διασφαλίσουν ότι το μήνυμά τους θα περάσει, ακόμη και αν το antivirus του θύματος μπλοκάρει την εκκίνηση του σημειώματος λύτρων που βασίζεται σε γραφικό περιβάλλον.

Οι επιτιθέμενοι δεν χρησιμοποιούν ιστότοπο Tor ούτε παρέχουν ασφαλή σύνδεσμο συνομιλίας για τα θύματα, αλλά χρησιμοποιούν ένα bot του Telegram για την επικοινωνία.

Δείτε επίσης: LockBit ransomware: Η συμμορία κέρδισε $ 91 εκατ. μέσω 1.700 επιθέσεων σε αμερικανικούς οργανισμούς

Οι εθνικές απαγορεύσεις σε δημοφιλείς τίτλους FPS στη Ρωσία έχουν αναγκάσει τους ντόπιους παίκτες να αναζητήσουν αλλού διασκέδαση, και το Enlisted είναι μία από τις εναλλακτικές τους λύσεις.

Φαίνεται ότι οι απειλητικοί φορείς εκμεταλλεύτηκαν αυτή την ευκαιρία και είναι πιθανό να δημιουργήσουν και άλλα ψεύτικα sites για παρόμοια παιχνίδια με ρωσικό εντοπισμό.

Πηγή πληροφοριών: bleepingcomputer.com