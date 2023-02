Le ransomware MortalKombat enchaîne les attaques à plusieurs niveaux pour tuer vos données.



Mortal Kombat a la réputation d'être brutal, mais plutôt que d'exercer une violence excessive sur des personnages de jeux vidéo, des acteurs de la menace inconnus brutalisent effrontément les finances de leurs victimes dans une campagne de ransomware sur le thème de Mortal Kombat. Outre le ransomware, cette campagne utilise également le malware Laplas Clipper, qui échange sournoisement les adresses de portefeuilles de crypto-monnaies pour diriger les fonds vers les acteurs de la menace.







Selon les chercheurs en cybersécurité du Talos Intelligence Group de Cisco, cette campagne de menaces à motivation financière a débuté en décembre 2022 et est toujours en cours. La chaîne de destruction de la campagne commence par des e-mails de phishing usurpant l'identité de la passerelle de paiement de crypto-monnaies légitime CoinPayments. Les courriels informent faussement les destinataires que CoinPayments n'a jamais reçu suffisamment de fonds pour effectuer les transactions prévues, incitant les destinataires à télécharger, extraire et ouvrir un fichier joint présenté comme une facture.



Le fichier en question est un fichier batch qui exécute un script malveillant. Les chercheurs ont trouvé deux versions différentes de ce fichier batch : une qui télécharge et exécute le ransomware MortalKombat et une qui télécharge et exécute le malware Laplas Clipper. Ce dernier est un voleur de presse-papiers, mais, plutôt que de simplement exfiltrer tout ce qui est copié sur le presse-papiers des victimes, le malware surveille discrètement les presse-papiers des systèmes infectés à la recherche d'adresses de portefeuilles de crypto-monnaies.



Lorsque Laplas Clipper détecte une adresse de portefeuille dans le presse-papiers, le malware télécharge rapidement cette adresse sur un serveur contrôlé par les acteurs de la menace et reçoit en retour une adresse d'apparence similaire liée au portefeuille des attaquants. Le logiciel malveillant remplace alors l'adresse originale du porte-monnaie dans le presse-papiers par la nouvelle adresse. Les victimes sans méfiance collent alors cette deuxième adresse, pensant qu'il s'agit de la leur. Cependant, tous les fonds transférés à cette adresse se retrouvent dans le portefeuille des acteurs de la menace, et non dans celui de la victime.







Quant au ransomware MortalKombat, il s'agit d'une nouvelle variante de l'ancienne famille de ransomware Xorist. Les chercheurs ont observé que cette variante chiffrait un large éventail de types de fichiers, notamment certains fichiers système, d'application et de sauvegarde. Le ransomware ne supprime pas les copies d'ombre des volumes, mais il corrompt le contenu de la corbeille, vide le dossier de démarrage, désactive la fenêtre de commande d'exécution de Windows et supprime la clé de registre racine, ce qui rend toutes les applications installées inopérantes.



Une fois le mal fait, MortalKombat exécute son dernier geste, qui consiste à remplacer le fond d'écran par des instructions de rançon superposées à la pochette de Mortal Kombat 11. Le ransomware dépose également un fichier texte de demande de rançon. Le fond d'écran et la note de rançon demandent aux victimes de télécharger et d'installer la messagerie instantanée qTOX basée sur Tor pour communiquer avec les acteurs de la menace. La note de rançon indique également aux victimes comment acheter des crypto-monnaies pour payer la rançon. Jusqu'à présent, il semble que les acteurs de la menace derrière cette campagne limitent leur extorsion au décryptage des fichiers stockés localement sur les machines des victimes, plutôt que de tenter de réaliser une double extorsion en menaçant de publier les fichiers des victimes sur un site de fuite dédié.



HOTHARDWARE