Sebuah varian dari jenis ransomware yang dikenal sebagai DJVU telah teramati disebarkan dalam bentuk perangkat lunak bajakan. “Pola serangannya dengan menambahkan ekstensi .xaro ke file yang terinfeksi dan menuntut tebusan untuk mendapatkan kunci dekripsi”, kata peneliti keamanan Cybereason, Ralph Villanueva. Varian baru ini diberi kode nama Xaro oleh perusahaan keamanan Siber Amerika.
DJVU, pada dasarnya adalah varian dari ransomware STOP, biasanya muncul seolah-olah merupakan layanan atau aplikasi yang sah. Ini juga disampaikan sebagai muatan dari SmokeLoader. Aspek penting dari serangan DJVU adalah penyebaran malware tambahan, seperti pencuri informasi (misalnya, RedLine Stealer dan Vidar), yang membuat serangan ini lebih merusak.
Menurut dokumentasi Cybereason, Xaro disebarkan sebagai file arsip dari sumber yang meragukan yang menyamar sebagai situs yang menawarkan perangkat lunak bebas yang sah. Membuka file arsip mengakibatkan eksekusi biner installer yang disebut sebagai perangkat lunak penulisan PDF bernama CutePDF yang sebenarnya adalah layanan downloader malware berbasis pay-per-install yang dikenal sebagai PrivateLoader. PrivateLoader ini kemudian melakukan kontak dengan server command-and-control (C2) untuk mengambil berbagai keluarga malware pencuri dan loader seperti: RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig, dan Fabookie, selain mengeksekusi Xaro.
Tujuannya adalah mengumpulkan dan menyaring informasi sensitif untuk pemerasan ganda serta memastikan keberhasilan serangan bahkan jika salah satu muatan diblokir oleh perangkat lunak keamanan.
Sumber:https://thehackernews.com/2023/11/djvu-ransomwares-latest-variant-xaro.html
