כופרת Knight מופצת במסע מתקפות ספאם מתמשך המתיימר להיות תלונות של TripAdvisor. הכופרה הינה מותג מחודש של Cyclop Ransomware-as-a-Service – RaaS, שהחליפה את שמה בסוף יולי 2023 והושקה בחודש מאי השנה, כאשר החלו מפעיליה לגייס שותפים בפורום ההאקינג של RAMP. דוח של Uptycs מציין שהכופרה הושקה עם הצפנות עבור Windows, macOS ו- Linux/ESXi. הכופרה מציעה גם גניבת מידע באמצעות נוזקות עבור Windows ו- Linux, מה שלא נראה בדרך כלל בפעולות RaaS. בנוסף למצפינים הרגילים שלה, מציעה הכופרה גרסת לייט לשימוש בספאם והפצה המונית של Pray-and-Spray המכוונים למספר גדול של משתמשים. נראה שגרסה זו משתמשת בסכום כופר קבוע במקום לנהל משא ומתן עם הקורבנות.
השבוע זיהה חוקר חברת Sophos מסע מתקפות ספאם המתחזה לתלונות של TripAdvisor, אך בעצם נועד להפיץ את כופרת Knight. המיילים כוללים קבצי ZIP מצורפים בשם TripAdvisorComplaint.zip המכילים קובץ הפעלה בשם TripAdvisor Complaint – Possible Suspension.exe. גרסה חדשה יותר של מסע מתקפות ספאם זה שזוהתה ונותחה על ידי BleepingComputer כוללת כעת קובץ HTML מצורף בשם TripAdvisor-Complaint-[random].PDF.htm. כאשר קובץ ה- HTML נפתח, הוא משתמש בטכניקת התחזות דפדפן בדפדפן של Mr.D0x כדי לפתוח את מה שנראה כחלון דפדפן ל- TripAdvisor. חלון הדפדפן המזויף הזה מתיימר להיות תלונה שהוגשה למסעדה ומבקש מהמשתמש לבדוק אותה. לחיצה על כפתור 'קרא תלונה' מורידה קובץ Excel XLL בשם TripAdvisor_Complaint-Possible-Suspension.xll. קובץ XLL זה נוצר באמצעות Excel-DNA, המשלב את .NET ב- Microsoft Excel כדי להפעיל את הנוזקה כאשר הוא נפתח. כאשר פותחים את קובץ ה- XLL, יזהה Microsoft Excel את סימן האינטרנט (MoTW) שנוסף לקבצים שהורדו מהאינטרנט, כולל דואר אלקטרוני. אם הוא יזהה את ה- MoTW, הוא לא יאפשר את תוסף NET המובנה במסמך ה- Excel ויבטל את המתקפה, אלא אם יבטל המשתמש את חסימת הקובץ. עם זאת, אם אין דגל MoTW על הקובץ, ישאל Excel את המשתמש אם הוא רוצה להפעיל את התוספת. הפעלת התוספת תגרום להחדרת מצפין כופרת Knight Lite לתהליך explorer.exe חדש ויתחיל להצפין את הקבצים במחשב. בעת הצפנת הקבצים הוא יוסיף את הסיומת .knight_l לשמות הקבצים המוצפנים, כאשר החלק 'l' מייצג כנראה את גירסת לייט. הכופרה תיצור גם פתק כופר בשם How To Restore Your Files.txt בכל תיקיה במחשב. שטר הכופר בקמפיין הזה דורש לשלוח 5,000 דולר לכתובת ביטקוין ומכיל גם קישור לאתר Knight Tor. עם זאת, כל פתק כופר במסע מתקפות זה שנראה על ידי BleepingComputer, משתמש באותה כתובת ביטקוין, מה שלא מאפשר לפושעי הסייבר לדעת איזה קורבן שילם כופר.
מכיוון שמדובר בקמפיין Knight Lite, ביקור באתר אינו מציג פאנל משא ומתן. במקום זאת מוצגת הודעה המציינת כי הקורבנות היו צריכים כבר לשלם את דרישת הכופר וליצור קשר עם מפעילי הכופרה. בשלב זה, לא ידוע אם תשלום הכופר אכן יגרום לקבלת מפענח ממפעיל הכופרה. יתר על כן, היות וכל שטרות הכופר שנראו על ידי BleepingComputer משתמשים באותה כתובת ביטקוין, יכולים בעלי הכתובת לקחת לעצמם תשלום עבור כופרה שמישהו אחר מלבדם הפיץ. לפיכך מומלץ מאד להימנע מתשלום כופר במסע מתקפות זה, שכן יש סיכוי טוב שלא יתקבל מפתח הצפנה.
