کارشناسان هشدار داده اند که هکرها نرم افزار باج افزار بدنام مالوکس را به گونه ای تغییر داده اند که می تواند به سیستم های لینوکس نیز حمله کند.
نسخه جدید این بدافزار که مالوکس لینوکس 1.0 نامیده می شود، به تازگی توسط محققان امنیت سایبری SentinelLabs کشف شده است. این کشف به دنبال اشتباهی رخ داد که در آن هکرهای پشت این بدافزار به طور ناخواسته ابزارهای خود را منتشر کردند.
بررسی این ابزار نشان می دهد که مالوکس لینوکس 1.0 در واقع یک نسخه جدید از رمزگذار Kryptina است. Kryptina سال گذشته توسط یک هکر با نام مستعار “Corlys” توسعه داده شد و او تلاش کرد آن را به قیمت 800 دلار به اجاره بگذارد. اما از آنجا که جامعه مجرمان سایبری علاقه زیادی به این ابزار نشان ندادند، Corlys آن را به طور رایگان منتشر کرد و امیدوار بود کسی آن را به کار گیرد.
ظاهرا مالوکس از این فرصت استفاده کرده، زیرا نسخه جدید این بدافزار از کد منبع Kryptina، مکانیزم رمزگذاری (AES-256-CBC)، و روال های رمزگشایی یکسان استفاده می کند. علاوه بر این، از سازنده خط فرمان و پارامترهای پیکربندی مشابه نیز بهره می برد. بنابراین، توسعه دهندگان مالوکس تنها نام و ظاهر رمزگذار را تغییر داده اند و هرگونه اشاره به Kryptina را از اسناد حذف کرده اند. هر چیز دیگری بدون تغییر باقی مانده است.
در حال حاضر اطلاعاتی در مورد قربانیان احتمالی این بدافزار وجود ندارد، اما محققان Kaspersky در تحلیل خود اظهار کرده اند که افراد وابسته به مالوکس “فعالیت های خود را به یک کشور خاص محدود نمی کنند”. در عوض، آنها به شرکت های آسیب پذیر در هر کجای دنیا حمله می کنند. با این حال، اکثر شرکت هایی که مورد حمله این بدافزار قرار گرفته اند در برزیل، ویتنام یا چین واقع شده اند.
این بدافزار همچنین با نام های Fargo یا TargetCompany شناخته می شود و از ژوئن 2021 به طور فعال فعالیت می کند. در ابتدا این بدافزار عمدتا سرورهای MS-SQL بدون حفاظت را هدف قرار می داد، به گفته Sekoia. یکی دیگر از ویژگی های مالوکس تهدید کردن قربانیان به ویژه کسانی که در اتحادیه اروپا هستند، در مورد نقض احتمالی GDPR است.
بین اکتبر 2022 و مارس 2023، افراد وابسته به این بدافزار داده ها را از حداقل 20 سازمان سرقت کرده اند.
