O ransomware Knight está sendo distribuído em uma campanha de spam em andamento que finge ser reclamações do TripAdvisor.
O ransomware Knight é uma recente rebranding do Ransomware-as-a-Service do Cyclop, que mudou de nome no final de julho de 2023.
A operação do ransomware Cyclops começou em maio de 2023, quando os operadores começaram a recrutar afiliados para o novo ransomware como serviço (RaaS) no fórum de hacking RAMP.
Um relatório da Uptycs explica que a operação foi lançada com criptógrafos para Windows, macOS e Linux/ESXi.
A operação também oferece aos afiliados malwares de roubo de informações para Windows e Linux, que normalmente não é visto em operações de RaaS.
Além de seus criptógrafos normais, a operação oferece uma versão 'lite' para uso em campanhas de distribuição massiva de spam e pray-and-spray, visando um grande número de usuários alvo.
Esta versão parece utilizar um valor fixo de resgate em vez de negociar com as vítimas.
No final de julho, Cyclops se reorganizou como Knight, também afirmando que atualizaram o criptógrafo lite para suportar 'distribuição em lote' e lançaram um novo site de vazamento de dados.
"Atualizamos nosso novo painel e oficialmente mudamos nosso nome para Knight.
Estamos procurando por parceiros (de qualquer tipo) que!!!", lê-se um anúncio nos antigos sites de vazamento de dados de Cyclops e no novo Knight.
"Também atualizamos a versão lite para suportar a distribuição em lote." Atualmente, não há vítimas ou arquivos roubados vazados no site de vazamento de dados do Knight.
Esta semana, Felix, pesquisador do Sophos, identificou uma nova campanha de spam que finge ser reclamações do TripAdvisor, mas distribui o ransomware Knight.
Embora os e-mails reais não tenham sido compartilhados, Felix disse que os e-mails incluem anexos de arquivo ZIP chamados 'TripAdvisorComplaint.zip', que contêm um executável chamado 'TripAdvisor Complaint - Possible Suspension.exe' [VirusTotal].
Uma nova versão desta campanha foi detectada e analisada pela BleepingComputer, agora inclui um anexo em HTML chamado 'TripAdvisor-Complaint-[random].PDF.htm' [VirusTotal].
Quando o arquivo HTML é aberto, ele usará a técnica de phishing do Browser-in-the-Browser do Mr.D0x's para abrir o que parece ser uma janela de navegador para o TripAdvisor.
Esta falsa janela de navegador finge ser uma reclamação submetida a um restaurante, pedindo ao usuário para revisá-la.
No entanto, clicar no botão 'Ler reclamação' irá baixar um arquivo Excel XLL chamado 'TripAdvisor_Complaint-Possible-Suspension.xll' [VirusTotal], como mostrado abaixo.
Este arquivo XLL é criado usando Excel-DNA, que integra .NET ao Microsoft Excel para executar o malware quando é aberto.
Quando você abre o XLL, o Microsoft Excel detectará a Marca da Web (MoTW), adicionada aos arquivos baixados da Internet, incluindo o e-mail.
Se ele detectar o MoTW, ele não ativará o add-in .NET embutido no documento do Excel, anulando o ataque, a menos que um usuário desbloqueie o arquivo.
No entanto, se não houver uma flag de MoTW no arquivo, o Excel solicitará ao usuário se ele deseja ativar o add-in, como mostrado abaixo.
Ativar o add-in fará com que o criptógrafo de ransomware Knight Lite seja injetado num novo processo explorer.exe e comece a criptografar os arquivos em seu computador.
Ao criptografar arquivos, ele adicionará a extensão .knight_l aos nomes dos arquivos criptografados, onde a parte 'l' provavelmente significa 'lite'.
O ransomware também criará uma nota de resgate chamada How To Restore Your Files.txt, em cada pasta no computador.
A nota de resgate nesta campanha exige que $5,000 sejam enviados para um endereço de Bitcoin listado e também contém um link para o site Knight Tor.
No entanto, todas as notas de resgate nesta campanha vistas pela BleepingComputer utilizam o mesmo endereço de Bitcoin de '14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z', o que tornaria impossível para o ator da ameaça determinar qual vítima pagou um resgate.
Como esta é uma campanha Knight Lite, a visita ao site não exibe um painel de negociação.
Em vez disso, ele mostra uma mensagem dizendo que as vítimas deveriam ter pago a demanda de resgate já e para contactar o afiliado em brahma2023.
Neste momento, não se sabe se o pagamento de um resgate resultará em receber um decifrador do afiliado do Knight.
Além disso, todas as notas de resgate vistas pela BleepingComputer utilizam o mesmo endereço de Bitcoin, tornando possível que outra pessoa reivindique um pagamento como seu, roubando essencialmente o seu pagamento.
Portanto, é fortemente aconselhável abster-se de pagar um resgate nesta campanha, pois há uma boa chance de que você não receberá um decifrador.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...