Microsoft ka gjurmuar aktivitetet e fundit të grupit DEV-0569 (emri i përkohshëm derisa të zbulohet identiteti i autorëve) i cili shpërndan malware të ndryshëm, duke përfshirë ransomware-in Royal. Kompania Redmond përshkroi në detaje taktikat, teknikat dhe procedurat e ndryshme të përdorura gjatë sulmeve, duke ofruar disa rekomandime për mbrojtjen e kompjuterëve, duke përfshirë instalimin e një zgjidhje sigurie.
Metodat e përdorura për të shpërndarë malware
Zinxhiri i infeksionit së pari përfshin shpërndarjen e BATLOADER, një shkarkues që shkarkon ngarkesat e tjera. Viktimat marrin email phishing me lidhje me instaluesit e supozuar të Zoom, AnyDesk ose TeamViewer, të organizuara në sajte të rreme ose shërbime legjitime (OneDrive ose GitHub). Skedarët VHD janë përdorur gjithashtu në disa raste, por përmbajtja është ende e njëjtë, d.m.th. BATLOADER.
Email-et e phishing dërgohen përmes formularëve të kontaktit të faqes për t’u përpjekur të shmangin mbrojtjen ose nëpërmjet reklamimit të keq (reklamim në motorët e kërkimit që tregojnë faqe të rreme). BATLOADER shkarkon skripte dhe mjete të ndryshme PowerShell që ju lejojnë të grumbulloni informacione rreth kompjuterëve, të çaktivizoni antivirusin dhe të shpërndani programe të tjera keqdashëse.
Pasi fitojnë privilegje të larta, kriminelët kibernetikë instalojnë trojanin bankar Gozi, vjedhësin e informacionit Vidar dhe ransomware-in Royal. Microsoft Defender Antivirus dhe zgjidhje të tjera sigurie zbulojnë dhe bllokojnë hyrjen në sajtet e infektuara dhe shkarkimin e malware.
Discussion about this post