FOG ransomware
A Trend Micro jelentése szerint a FOG nevű zsarolóvírus új, összetett támadási lánccal terjed, amelyet a támadók a Kormányzati Hatékonysági Minisztérium (DOGE) nevével próbálnak hitelesíteni. A kampány során a támadók ZIP fájlokat küldenek Pay Adjustment.zip néven, amelyek egy LNK fájlt tartalmaznak, amely PDF-nek álcázza magát. A fájl megnyitása után egy PowerShell parancsot hajt végre, amely letölti a stage1.ps1 nevű szkriptet. Ez a szkript több lépésben további eszközöket tölt le, mint például a cwiper.exe és a ktool.exe, valamint politikai témájú YouTube videókat nyit meg, és politikai kommentárokat tartalmaz.
A támadás során a lootsubmit.ps1 és a trackerjacker.ps1 szkriptek rendszerinformációkat gyűjtenek, például IP-címet, MAC-címet és geolokációs adatokat, amelyeket egy távoli szerverre küldenek. A ktool.exe eszköz kihasználja az Intel Network Adapter Diagnostic Driver (iQVW64.sys) sebezhetőségét a jogosultságok kiterjesztésére. A zsarolóvírus a fájlokat .flocked kiterjesztéssel titkosítja, és egy readme.txt fájlt hagy hátra váltságdíj-utasításokkal.
A FOG zsarolóvírus 2025 januárja óta legalább 100 áldozatot követelt, különösen a technológiai, oktatási, gyártási és szállítási szektorokban.