自從 2022 年 12 月來，研究人員觀察到一個身份不明的攻擊者通過 MortalKombat 勒索軟件和 Laplas Clipper 惡意軟件來竊取加密貨幣。

攻擊鏈

攻擊從釣魚郵件開始，多階段逐步投遞勒索軟件或者惡意軟件。電子郵件附件 ZIP 文件中包含 BAT 腳本，下載另一個壓縮文件就會釋放 Laplas Clipper 惡意軟件的 Go 變種或是 MortalKombat 勒索軟件。

攻擊鏈

惡意郵件

攻擊者在釣魚郵件中冒充合法的全球加密貨幣支付提供商 CoinPayments，郵件主題為 CoinPayments.net Payment Timed Out且發件人為 noreply[at]CoinPayments.net。惡意 ZIP 文件中附帶了郵件正文中提到的交易 ID，引誘收件人解壓壓縮文件查看文件內容。

釣魚郵件

BAT 腳本

BAT 腳本使用無文件攻擊從攻擊者控制的下載服務器下載惡意 ZIP 文件，釋放名為 file.pdf.exe的惡意可執行文件。BAT 腳本會使用 Windows 命令啟動釋放的惡意軟件，并刪除下載的 ZIP 文件與載荷。

下載并執行 MortalKombat 勒索軟件

下載并執行 Laplas Clipper 惡意軟件

獲取加密貨幣收益

MortalKombat 勒索軟件

MortalKombat 是一種新型勒索軟件，于 2023 年 1 月首次被發現。MortalKombat 會加密失陷主機上的各種文件，例如系統文件、應用程序、數據庫、備份和虛擬機文件，以及映射為失陷主機邏輯驅動器的遠程文件。盡管 MortalKombat 并沒有刪除卷影副本，但還是會從 Windows 啟動中刪除應用程序與文件夾并禁止在失陷主機上運行命令。

勒索信息與壁紙

攻擊者使用 qTOX 與受害者進行通信，其 ID 為 DA639EF141F3E3C35EA62FF284200C29FA2E7E597EF150FDD526F9891CED372CBB9AB7B8BEC8。此外，還提供了電子郵件地址 hack3dlikeapro[at]proton[.]me作為代替。

Laplas Clipper 竊密木馬

Laplas Clipper 是 2022 年 11 月首次發現的竊密木馬，其屬于 Clipper 惡意軟件家族。Laplas Clipper 會使用正則表達式來監控失陷主機的剪貼板，將錢包地址發送給攻擊者。攻擊者將一個相似的錢包地址覆蓋到失陷主機的剪貼板上，進行欺詐交易。

購買 Laplas Clipper

Laplas Clipper 的開發人員正在積極開發新變種。2022 年 12 月 20 日，開發人員在 Telegram 頻道中宣布 C++ 編寫的新變種面世并以 EXE 和 DLL 的形式提供。

開發者公告

攻擊基礎設施

研究人員發現一個波蘭的 IP 地址 193[.]169[.]255[.]78 登錄攻擊者控制的服務器，以下載 MortalKombat 勒索軟件。同時，該 IP 地址還在全網掃描 3389 端口的 RDP 服務。

另一個 IP 地址 144[.]76[.]136[.]153 從關聯的 transfer[.]sh 服務器下載 Laplas Clipper，攻擊中使用的 Laplas Clipper 與綁定在 clipper[.]guru 的 Clipper 進行通信。

MortalKombat 勒索軟件技術分析

MortalKombat 勒索軟件是一個 32 位 Windows 可執行文件，會使用隨機文件名將自身復制到本地用戶配置文件的應用程序臨時文件夾中，分析時的名為 E7OKC9s3llhAD13.exe。

MortalKombat 將創建時間修改為 Wednesday, September 7, 2022, 8:06:35 PM，但尚不能確定硬編碼時間的意義。

目標擴展名

勒索軟件通過創建名為 Alcmeter 的注冊表項，并在本地用戶配置文件的應用程序臨時文件夾中添加勒索軟件可執行文件的路徑來進行持久化。

創建的注冊表鍵值對

MortalKombat 檢查所有文件，根據擴展名列表來進行匹配。匹配成功，加密文件的擴展名即為 ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware。同時，每個文件夾中都會創建贖金勒索文件 HOW TO DECRYPT FILES.txt。

失陷主機的回收站

最后，勒索軟會刪除應用程序與文件夾，清除相關痕跡。

刪除函數

MortalKombat 是 Xorist 家族的一部分

經過分析，MortalKombat 與 Xorist 存在許多相似之處。Xorist 首次出現在 2010 年，并且以定制多變著稱。

變種進化時間線

研究人員發現了泄露的 Xorist 構建工具，使用該工具可以生成勒索軟件可執行文件，攻擊者可以進行定制化。

構建工具

MortalKombat 文件與 Xorist 變種及其構建工具生成的可執行文件存在許多相似之處。

相似之處

研究人員十分確認 MortalKombat 勒索軟件屬于 Xorist 家族。

相似之處

Laplas Clipper 技術分析

Clipper 在解碼經過 base64 編碼的字符串后，再使用密鑰 \x3F 異或解密獲取其他內容。

解密函數

部分字符串解密如下所示：

字符串解密

Clipper 下發的匹配加密貨幣錢包地址的正則表達式如下所示：

匹配的加密錢包

研究人員創建了兩個虛擬以太坊錢包，Clipper 將虛擬錢包地址發送給攻擊者，同時收到了與原始錢包地址相似的錢包地址。

復制錢包地址

攻擊者返回的錢包地址是有效的，狀態如下所示：

錢包詳細信息

受害者分布

研究人員發現，攻擊的受害者主要位于美國、英國、土耳其與菲律賓，其他國家收影響較少。

全球受害者分布情況