Az MI-vezérelt zsarolóvírusok már lecsaptak a világra

Egy amerikai nonprofit szervezet több mint 3000 végpontján szimulált támadás során a kutatók 12 napon át figyelték meg, ahogy a Velvet Tempest nevű hackercsoport a DonutLoader és a CastleRAT kártevők telepítésével próbálkozik. Első ránézésre egyszerű zsarolóvírus-akciónak tűnhetett volna, valójában azonban a támadók kifinomult trükköket vetettek be.

ClickFix: a leleményes trükk

A kezdő lépést egy megtévesztő online hirdetés adta, amely egy ClickFix– és CAPTCHA-kombinációval álcázott utasításon keresztül közölt kódot az áldozatokkal, akik azt egy az egyben a Windows Futtatásba másolták. Ezzel összetett parancslánc indult el: cmd.exe folyamatok egymás után futottak le, majd a finger.exe programmal letöltötték az első kártevőt, egy PDF-nek álcázott archívumot.

Belső terjeszkedés és trükközés

A támadók PowerShell segítségével töltötték le és futtatták a további kártevőket, ideiglenes mappákban .NET-összetevőket fordítottak, és Python-alkalmazásokat telepítettek a működésük fenntartásához. A cél végül a CastleRAT, egy veszélyes, távoli hozzáférést biztosító trójai bejuttatása volt, amely számos információtolvaj és távoli vezérlésű kártevő alapja.

Makacs MI-bűnözők, változó módszerek

A Velvet Tempest nem most kezdett: legalább öt éve dolgoznak zsarolóvírus-terjesztőként, és számos súlyos támadással hozhatók kapcsolatba – köztük SaaS-szolgáltatókkal és ausztrál egészségügyi vállalatokkal is. Meglepő módon a mostani támadássorozatban a Termite zsarolóvírust végül nem telepítették – de a ClickFix módszert egyre többen használják a zsarolóvírus-csoportok közül. Mivel a fenyegetés egyre összetettebb, a védekezés sem lehet egyszerű.

2025, adrienne, www.bleepingcomputer.com alapján