TellYouThePass fidye yazılımı, Golang tarafından derlenmiş bir kötü amaçlı yazılım olarak yeniden ortaya çıktı ve özellikle macOS ve Linux olmak üzere daha fazla işletim sistemini hedeflemeyi kolaylaştırdı.
Bu kötü amaçlı yazılımın geri dönüşü fark edildi geçen ay, tehdit aktörleri, savunmasız makineleri hedeflemek için Log4Shell istismarıyla birlikte kullandığında.
Şimdi, Crowdstrike’tan bir rapor, bu geri dönüşe daha fazla ışık tutuyor ve Windows dışındaki diğer platformlar için derlemeyi kolaylaştıran kod düzeyinde değişikliklere odaklanıyor.
Neden Golang?
Golang, ilk olarak kötü amaçlı yazılım yazarları tarafından benimsenen bir programlama dilidir. 2019’da nedeniyle platformlar arası çok yönlülük.
Ayrıca Golang, bağımlılık kitaplıklarını tek bir ikili dosyaya sığdırmaya izin verir, bu da komut ve kontrol (C2) sunucu iletişimlerinin daha küçük bir ayak izine yol açar, böylece algılama oranları.
Ayrıca öğrenmesi Python gibi diğer programlama dillerinden daha kolaydır ve programlama sürecini basitleştiren modern hata ayıklama ve eklenti araçlarına sahiptir.
Golang’da yazılmış başarılı bir kötü amaçlı yazılımın kayda değer bir örneği, Glupteba botnet’tir. bozulmuş Google’ın güvenlik uzmanları tarafından geçen ay
Yeni TellYouThePass örnekleri
Crowdstrike analistleri raporu TellYouThePass’in Linux ve Windows örnekleri arasında %85’lik bir kod benzerliği, fidye yazılımını farklı işletim sistemlerinde çalıştırmak için gereken minimum ayarlamaları gösteriyor.
Kaynak: Kitle Saldırısı
Fidye yazılımının son örneklerinde dikkate değer bir değişiklik, analizi engellemeye çalışan ‘ana’ işlev dışındaki tüm işlevlerin adlarının rastgele seçilmesidir.
Şifreleme rutinini başlatmadan önce TellYouThePass, süreci riske atabilecek veya e-posta istemcileri, veritabanı uygulamaları, web sunucuları ve belge düzenleyiciler gibi tamamlanmamış şifrelemeyle sonuçlanabilecek görevleri ve hizmetleri öldürür.
Ayrıca, sistemin önyüklenebilir olmamasını önlemek için bazı dizinler şifrelemeden hariç tutulur ve bu nedenle ödeme alma şansını boşa harcar.
Kaynak: Kitle Saldırısı
Son TellYouThePass enfeksiyonlarında düşen fidye notu, şifre çözme aracı karşılığında şu anda yaklaşık 2.150 dolara dönüşen 0,05 Bitcoin istiyor.
Kaynak: Kitle Saldırısı
Şifreleme şeması RSA-2014 ve AES-256 algoritmalarını kullanır ve ücretsiz şifre çözücü mevcut değildir.
Şu an için macOS örnekleri tespit edilmedi.