Home Criptomonedas Una campaña de robo de criptomonedas, utiliza el ransomware MortalKombat

Una campaña de robo de criptomonedas, utiliza el ransomware MortalKombat

Se ha descubierto una nueva campaña de fraude financiero que utiliza una variante del ransomware de productos básicos Xorist “MortalKombat”, junto con una variante del malware Laplas Clipper.

Al parecer, los ciberataques tenían como objetivo robar criptomonedas a las víctimas y se dirigían principalmente a víctimas de Estados Unidos, pero también del Reino Unido, Turquía y Filipinas.

La compañía dijo que descubrió al actor escaneando Internet en busca de máquinas víctimas con un puerto de protocolo de escritorio remoto (RDP) expuesto. A continuación, emplearon uno de sus servidores de descarga para ejecutar un rastreador RDP y facilitaron el despliegue del ransomware MortalKombat.

Desde un punto de vista técnico, los ataques vistos como parte de esta campaña comienzan con un correo electrónico de phishing, que inicia una cadena de ataque de varias etapas en la que el actor entrega malware o ransomware, y luego elimina la evidencia de su presencia maliciosa en la máquina infectada.

“El archivo ZIP malicioso adjunto al correo electrónico de phishing inicial contiene un script de carga BAT”, reza el aviso.

Una vez que las víctimas ejecutan el script cargador, éste descarga otro archivo ZIP malicioso desde un servidor de alojamiento controlado por el atacante hasta la máquina de la víctima, lo infla automáticamente y ejecuta la carga útil (la variante GO del malware Laplas Clipper o el ransomware MortalKombat).

“El script cargador ejecutará la carga útil lanzada como un proceso en la máquina de la víctima y, a continuación, eliminará los archivos maliciosos descargados y lanzados para limpiar los marcadores de infección”, escribió Cisco Talos.

Para defenderse de esta campaña, Cisco Talos animó a las empresas a tener cuidado al realizar transacciones de criptomoneda.

Los ataques basados en phishing también estuvieron en el centro de un reciente informe de Cofense, que sugirió que el uso de bots de Telegram como destinos de exfiltración de información phished creció un 800% entre 2021 y 2022.