En lusket ny info stjæler glider ind på brugermaskiner via webstedsomdirigeringer fra Google Ads, der udgør downloadwebsteder for populær fjernarbejdskraftsoftware, såsom Zoom og AnyDesk.
Trusselsaktører bag den nye malware-stamme, "Rhadamanthys Stealer" - tilgængelig til køb på Dark Web under en malware-as-a-service model - bruger to leveringsmetoder til at udbrede deres nyttelast, siger forskere fra Cyble afsløret i et blogindlæg udgivet 12. januar.
Den ene er gennem omhyggeligt udformede phishing-websteder, der efterligner downloadwebsteder, ikke kun for Zoom, men også AnyDesk, Notepad++ og Bluestacks. Den anden er gennem mere typiske phishing-e-mails, der leverer malwaren som en ondsindet vedhæftet fil, sagde forskerne.
Begge leveringsmetoder udgør en trussel for virksomheden, da phishing kombineret med menneskelig godtroenhed fra intetanende virksomhedsmedarbejderes side fortsat er en succesfuld måde for trusselsaktører "at få uautoriseret adgang til virksomhedens netværk, hvilket er blevet en alvorlig bekymring," de sagde.
Faktisk en årlig undersøgelse af Verizon om databrud fandt det i 202182 % af alle overtrædelser involverede social engineering i en eller anden form, hvor trusselsaktører foretrak at phishe deres mål via e-mail mere end 60 % af tiden.
"Meget overbevisende" fidus
Forskere opdagede en række phishing-domæner, som trusselsaktørerne skabte for at sprede Rhadamanthys, hvoraf de fleste ser ud til at være legitime installationslinks til de forskellige førnævnte softwaremærker. Nogle af de ondsindede links, de identificerede, inkluderer: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com og zoom-meetings-install[.]com.
"Trusselsaktørerne bag denne kampagne ... skabte en meget overbevisende phishing-webside, der efterlignede legitime websteder for at narre brugere til at downloade den stjælende malware, som udfører ondsindede aktiviteter," skrev de.
Hvis brugerne tager lokket, vil webstederne downloade en installationsfil forklædt som et legitimt installatør for at downloade de respektive applikationer, idet de stille installerer tyveren i baggrunden, uden at brugeren ved det, sagde forskerne.
I det mere traditionelle e-mail-aspekt af kampagnen bruger angribere spam, der udnytter det typiske social engineering-værktøj til at skildre et presserende behov for at svare på en besked med et økonomisk tema. E-mails foregiver at sende kontoudtog til modtagere med en Statement.pdf vedhæftet, som de rådes til at klikke på, så de kan svare med et "øjeblikkeligt svar".
Hvis nogen klikker på den vedhæftede fil, viser den en meddelelse, der angiver, at det er en "Adobe Acrobat DC Updater" og inkluderer et downloadlink mærket "Download Update". Det link, når det først er klikket på, downloader en eksekverbar malware til tyveren fra URL'en "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" ind i offermaskinens Downloads-mappe, sagde forskerne.
Når først denne fil er eksekveret, bliver tyveren indsat til at løfte følsomme data såsom browserhistorik og forskellige login-legitimationsoplysninger – herunder specifik teknologi til at målrette krypto-wallet – fra målets computer, sagde de.
Rhadamanthys nyttelast
Rhadamanthys fungerer mere eller mindre som en typisk infotyver; den har dog nogle unikke egenskaber, som forskere identificerede, da de observerede dens udførelse på et offers maskine.
Selvom dens indledende installationsfiler er i sløret Python-kode, afkodes den endelige nyttelast som en shell-kode i form af en 32-bit eksekverbar fil kompileret med Microsofts visuelle C/C++ compiler, fandt forskerne.
Shellkodens første forretningsorden er at skabe et mutex-objekt, der har til formål at sikre, at kun én kopi af malwaren kører på offerets system på et givet tidspunkt. Den tjekker også for at se, om den kører på en virtuel maskine, angiveligt for at forhindre, at stjæleren bliver opdaget og analyseret i et virtuelt miljø, sagde forskerne.
"Hvis malwaren opdager, at den kører i et kontrolleret miljø, vil den afslutte dens eksekvering," skrev de. "Ellers fortsætter den og udfører stjæleraktiviteten efter hensigten."
Denne aktivitet omfatter indsamling af systemoplysninger - såsom computernavn, brugernavn, OS-version og andre maskindetaljer - ved at udføre en række Windows Management Instrumentation-forespørgsler (WMI). Det følges op af en forespørgsel i mapperne for de installerede browsere - inklusive Brave, Edge, Chrome, Firefox, Opera Software og andre - på ofrets maskine for at søge efter og stjæle browserhistorik, bogmærker, cookies, autofyld og login-legitimationsoplysninger.
Tyveren har også et specifikt mandat til at målrette mod forskellige krypto-tegnebøger med specifikke mål som Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap og andre. Det stjæler også data fra forskellige crypto-wallet browser-udvidelser, som er hårdkodet i stealer binær, sagde forskerne.
Andre applikationer, der er målrettet af Rhadamanthys, er: FTP-klienter, e-mail-klienter, filadministratorer, adgangskodeadministratorer, VPN-tjenester og beskedapps. Tyveren tager også skærmbilleder af ofrets maskine. Malwaren sender til sidst alle de stjålne data til angribernes kommando-og-kontrol-server (C2), sagde forskerne.
Farer for virksomheden
Siden pandemien er virksomhedens arbejdsstyrke generelt blevet mere geografisk spredt og poserer unikke sikkerhedsudfordringer. Softwareværktøjer, der gør det lettere for fjernmedarbejdere at samarbejde - som Zoom og AnyDesk - er blevet populære mål, ikke kun for app-specifikke trusler, men også til social engineering-kampagner af angribere, der ønsker at udnytte disse udfordringer.
Og selvom de fleste virksomhedsmedarbejdere efterhånden burde vide bedre, er phishing fortsat en meget succesfuld måde for angribere at få fodfæste i et virksomhedsnetværk, sagde forskerne. På grund af dette anbefaler Cybel-forskere, at alle virksomheder bruger sikkerhedsprodukter til at opdage phishing-e-mails og websteder på tværs af deres netværk. Disse bør også udvides til mobile enheder, der får adgang til virksomhedens netværk, sagde de.
Virksomheder bør oplyse medarbejderne om farerne ved at åbne e-mail-vedhæftede filer fra upålidelige kilder samt downloade piratkopieret software fra internettet, sagde forskerne. De bør også styrke vigtigheden af at bruge stærke adgangskoder og håndhæve multifaktorautentificering, hvor det er muligt.
Endelig anbefalede Cyble-forskere, at som en generel tommelfingerregel bør virksomheder blokere URL'er - såsom Torrent/Warez-websteder - der kan bruges til at sprede malware.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Om
- adgang
- Adgang
- Konto
- tværs
- aktiviteter
- aktivitet
- handlinger
- Adobe
- annoncer
- Alle
- ,
- årligt
- vises
- applikationer
- apps
- udseende
- Godkendelse
- til rådighed
- baggrund
- lokkemad
- fordi
- bliver
- bag
- være
- Bedre
- binance
- Bitcoin
- Bloker
- Blog
- bogmærker
- brands
- trodse
- brud
- browser
- browsere
- virksomhed
- Kampagne
- Kampagner
- fanger
- omhyggeligt
- udfordringer
- Kontrol
- Chrome
- kunder
- kode
- samarbejde
- Indsamling
- kombineret
- computer
- Bekymring
- fortsæt
- fortsætter
- kontrolleret
- cookies
- Corporate
- skabe
- oprettet
- Legitimationsoplysninger
- krypto
- krypto tegnebøger
- farer
- mørk
- Mørk Web
- data
- Databrænkelser
- dc
- levere
- levering
- indsat
- detaljer
- opdaget
- Enheder
- mapper
- spredte
- displays
- Domæner
- downloade
- downloads
- lettere
- Edge
- uddanne
- emails
- medarbejdere
- Engineering
- sikring
- Enterprise
- virksomheder
- Miljø
- eventuel
- til sidst
- udførelse
- udførelse
- udvidelser
- falsk
- Funktionalitet
- File (Felt)
- Filer
- finansielle
- Firefox
- Fornavn
- efterfulgt
- formular
- fundet
- fra
- Gevinst
- Generelt
- given
- stærkt
- historie
- Men
- HTTPS
- menneskelig
- identificeret
- umiddelbar
- betydning
- in
- omfatter
- omfatter
- Herunder
- info
- oplysninger
- initial
- installation
- Internet
- involverede
- IT
- Jan
- Kend
- Kendskab til
- Leverage
- LINK
- links
- maskine
- Maskiner
- lave
- malware
- ledelse
- Ledere
- Mandat
- besked
- messaging
- metoder
- microsoft
- Mobil
- mobilenheder
- model
- mere
- mest
- multifaktorgodkendelse
- navn
- netværk
- net
- Ny
- Notepad + +
- nummer
- objekt
- ONE
- åbning
- Opera
- ordrer
- OS
- Andet
- Andre
- Ellers
- samlet
- pandemi
- del
- Adgangskode
- Nulstilling/ændring af adgangskoder
- Udfør
- Phish
- Phishing
- Phishing-websteder
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- mulig
- forhindre
- Produkter
- offentliggjort
- køb
- Python
- modtagere
- anbefaler
- styrke
- resterne
- fjern
- fjernarbejdere
- svar
- forskere
- dem
- Svar
- svar
- Herske
- kører
- Said
- screenshots
- Søg
- sikkerhed
- afsendelse
- følsom
- Series
- alvorlig
- Tjenester
- bør
- Websteder
- glidende
- Luskede
- So
- Social
- Samfundsteknologi
- Software
- nogle
- Nogen
- Kilder
- spam
- specifikke
- spredes
- Statement
- udsagn
- stjæler
- stjålet
- stærk
- vellykket
- sådan
- systemet
- Tag
- mål
- målrettet
- mål
- Teknologier
- deres
- tema
- trussel
- trusselsaktører
- Gennem
- tid
- til
- værktøj
- værktøjer
- traditionelle
- typisk
- under
- enestående
- Opdatering
- haster
- URL
- brug
- Bruger
- brugere
- forskellige
- Tele Danmark Mobil
- udgave
- via
- Victim
- Virtual
- virtuel maskine
- VPN
- Punge
- web
- Hjemmeside
- websites
- som
- mens
- vilje
- vinduer
- uden
- arbejdere
- Workforce
- zephyrnet
- zoom