Ein heimtückisches Neues Infodieb über Website-Weiterleitungen von Google Ads, die sich als Download-Sites für beliebte Remote-Workforce-Software wie Zoom und AnyDesk ausgeben, auf die Computer der Benutzer gleitet.
Bedrohungsakteure hinter dem neuen Malware-Stamm „Rhadamanthys Stealer“, der im Dark Web im Rahmen eines Malware-as-a-Service-Modells erhältlich ist, verwenden zwei Bereitstellungsmethoden, um ihre Payload zu verbreiten, so Forscher von Cyble in einem Blog-Beitrag enthüllt veröffentlicht am 12. Januar.
Zum einen durch sorgfältig gestaltete Phishing-Sites, die Download-Sites nicht nur für Zoom, sondern auch für AnyDesk, Notepad++ und Bluestacks imitieren. Die andere ist durch typischere Phishing-E-Mails, die die Malware als bösartigen Anhang liefern, sagten die Forscher.
Beide Bereitstellungsmethoden stellen eine Bedrohung für das Unternehmen dar, da Phishing in Kombination mit menschlicher Leichtgläubigkeit seitens ahnungsloser Unternehmensmitarbeiter weiterhin ein erfolgreicher Weg für Angreifer ist, „um sich unbefugten Zugriff auf Unternehmensnetzwerke zu verschaffen, was zu einem ernsthaften Problem geworden ist“. sagte.
Tatsächlich, eine jährliche Umfrage von Verizon zu Datenschutzverletzungen fand das im Jahr 2021, etwa 82 % aller Verstöße betrafen Social Engineering in irgendeiner Form, wobei Bedrohungsakteure es in mehr als 60 % der Fälle vorziehen, ihre Ziele per E-Mail zu phishing.
„Sehr überzeugender“ Betrug
Die Forscher entdeckten eine Reihe von Phishing-Domains, die von den Angreifern erstellt wurden, um Rhadamanthys zu verbreiten, von denen die meisten scheinbar legitime Installationslinks für die verschiedenen oben genannten Softwaremarken sind. Zu den schädlichen Links, die sie identifiziert haben, gehören: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com und zoom-meetings-install[.]com.
„Die Bedrohungsakteure hinter dieser Kampagne … haben eine äußerst überzeugende Phishing-Webseite erstellt, die sich als legitime Websites ausgibt, um Benutzer dazu zu bringen, die Stealer-Malware herunterzuladen, die böswillige Aktivitäten ausführt“, schrieben sie.
Wenn Benutzer den Köder schlucken, laden die Websites eine Installationsdatei herunter, die als legitimes Installationsprogramm getarnt ist, um die entsprechenden Anwendungen herunterzuladen, und installieren den Dieb im Hintergrund, ohne dass der Benutzer es weiß, sagten die Forscher.
Im traditionelleren E-Mail-Aspekt der Kampagne verwenden Angreifer Spam, das das typische Social-Engineering-Tool nutzt, um eine Dringlichkeit darzustellen, auf eine Nachricht mit einem finanziellen Thema zu antworten. Die E-Mails geben vor, Kontoauszüge an Empfänger mit einer angehängten Datei „Statement.pdf“ zu senden, auf die sie klicken sollten, damit sie mit einer „sofortigen Antwort“ antworten können.
Wenn jemand auf den Anhang klickt, wird eine Meldung angezeigt, die besagt, dass es sich um einen „Adobe Acrobat DC Updater“ handelt, und enthält einen Download-Link mit der Bezeichnung „Update herunterladen“. Sobald dieser Link angeklickt wird, lädt er eine ausführbare Malware-Datei für den Dieb von der URL herunter „https[:]\zolotayavitrina[.]com/Jan-statement[.]exe“ in den Downloads-Ordner des Opfercomputers, sagten die Forscher.
Sobald diese Datei ausgeführt wurde, wird der Dieb eingesetzt, um vertrauliche Daten wie den Browserverlauf und verschiedene Anmeldeinformationen für Konten – einschließlich einer speziellen Technologie zum Angriff auf Krypto-Geldbörsen – vom Computer des Ziels zu stehlen, sagten sie.
Die Rhadamanthys-Nutzlast
Rhadamanthys verhält sich mehr oder weniger wie ein typischer Infodieb; Es hat jedoch einige einzigartige Merkmale, die Forscher identifiziert haben, als sie seine Ausführung auf dem Computer eines Opfers beobachteten.
Obwohl die anfänglichen Installationsdateien in verschleiertem Python-Code vorliegen, wird die letztendliche Nutzlast als Shellcode in Form einer ausführbaren 32-Bit-Datei decodiert, die mit dem visuellen C/C++-Compiler von Microsoft kompiliert wurde, fanden die Forscher heraus.
Die erste Aufgabe des Shellcodes besteht darin, ein Mutex-Objekt zu erstellen, das sicherstellen soll, dass immer nur eine Kopie der Malware auf dem System des Opfers ausgeführt wird. Es prüft auch, ob es auf einer virtuellen Maschine läuft, angeblich um zu verhindern, dass der Dieb in einer virtuellen Umgebung entdeckt und analysiert wird, sagten die Forscher.
„Wenn die Malware erkennt, dass sie in einer kontrollierten Umgebung ausgeführt wird, beendet sie ihre Ausführung“, schrieben sie. „Andernfalls wird es die Stealer-Aktivität wie beabsichtigt fortsetzen und ausführen.“
Diese Aktivität umfasst das Sammeln von Systeminformationen – wie Computername, Benutzername, Betriebssystemversion und andere Maschinendetails – durch Ausführen einer Reihe von Abfragen der Windows-Verwaltungsinstrumentation (WMI). Darauf folgt eine Abfrage der Verzeichnisse der installierten Browser – darunter Brave, Edge, Chrome, Firefox, Opera Software und andere – auf dem Computer des Opfers, um den Browserverlauf, Lesezeichen, Cookies, automatische Ausfüllungen usw. zu suchen und zu stehlen Anmeldedaten.
Der Dieb hat auch ein spezifisches Mandat, um auf verschiedene Krypto-Wallets abzuzielen, mit spezifischen Zielen wie Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap und anderen. Es stiehlt auch Daten aus verschiedenen Krypto-Wallet-Browsererweiterungen, die in der Stealer-Binärdatei fest codiert sind, sagten die Forscher.
Andere Anwendungen, auf die Rhadamanthys abzielt, sind: FTP-Clients, E-Mail-Clients, Dateimanager, Passwortmanager, VPN-Dienste und Messaging-Apps. Der Dieb macht auch Screenshots von der Maschine des Opfers. Die Malware sendet schließlich alle gestohlenen Daten an den Command-and-Control-Server (C2) der Angreifer, sagten die Forscher.
Gefahren für die Enterprise
Seit der Pandemie ist die Belegschaft der Unternehmen insgesamt geografisch stärker verstreut und posiert einzigartige Sicherheitsherausforderungen. Software-Tools, die Remote-Mitarbeitern die Zusammenarbeit erleichtern – wie Zoom und AnyDesk – sind zu beliebten Zielen geworden, nicht nur für App-spezifische Bedrohungen, sondern auch für Social-Engineering-Kampagnen von Angreifern, die aus diesen Herausforderungen Kapital schlagen wollen.
Und obwohl die meisten Unternehmensmitarbeiter es inzwischen besser wissen sollten, bleibt Phishing eine äußerst erfolgreiche Methode für Angreifer, um in einem Unternehmensnetzwerk Fuß zu fassen, so die Forscher. Aus diesem Grund empfehlen Cybel-Forscher allen Unternehmen, Sicherheitsprodukte zu verwenden, um Phishing-E-Mails und -Websites in ihrem gesamten Netzwerk zu erkennen. Diese sollten auch auf mobile Geräte ausgeweitet werden, die auf Unternehmensnetzwerke zugreifen, sagten sie.
Unternehmen sollten ihre Mitarbeiter über die Gefahren des Öffnens von E-Mail-Anhängen aus nicht vertrauenswürdigen Quellen sowie des Herunterladens von Raubkopien aus dem Internet aufklären, so die Forscher. Sie sollten auch die Bedeutung der Verwendung starker Passwörter unterstreichen und wo immer möglich eine Multifaktor-Authentifizierung erzwingen.
Schließlich rieten die Forscher von Cyble, dass Unternehmen als allgemeine Faustregel URLs – wie Torrent/Warez-Sites – blockieren sollten, die zur Verbreitung von Malware verwendet werden können.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Über uns
- Zugang
- Zugriff
- Konto
- über
- Aktivitäten
- Aktivität
- Handlungen
- Adobe
- Siehe Werbung
- Alle
- und
- jährlich
- erscheinen
- Anwendungen
- Apps
- Aussehen
- Authentifizierung
- verfügbar
- Hintergrund
- Köder
- weil
- werden
- hinter
- Sein
- Besser
- Binance
- Bitcoin
- Blockieren
- Blog
- bookmarks
- Marken
- trotzen
- Verstöße
- Browser
- Browsern
- Geschäft
- Kampagnen (Campaign)
- Kampagnen
- Captures
- vorsichtig
- Herausforderungen
- Schecks
- Chrome
- Kunden
- Code
- zusammenarbeiten
- Das Sammeln
- kombiniert
- Computer
- Hautpflegeprobleme
- fortsetzen
- weiter
- gesteuert
- Cookies
- Unternehmen
- erstellen
- erstellt
- Referenzen
- Krypto
- Krypto-Geldbörsen
- Gefahren
- Dunkel
- Dunkle Web
- technische Daten
- Datenverstöße
- dc
- Übergeben
- Lieferanten
- Einsatz
- Details
- erkannt
- Geräte
- Verzeichnisse
- verteilt
- Displays
- Domains
- herunterladen
- Downloads
- einfacher
- Edge
- erziehen
- E-Mails
- Mitarbeiter
- Entwicklung
- Gewährleistung
- Unternehmen
- Unternehmen
- Arbeitsumfeld
- schließlich
- schließlich
- Ausführung
- Ausführung
- Erweiterungen
- Fälschung
- Eigenschaften
- Reichen Sie das
- Mappen
- Revolution
- Firefox
- Vorname
- gefolgt
- unten stehende Formular
- gefunden
- für
- Gewinnen
- Allgemeines
- gegeben
- hoch
- Geschichte
- aber
- HTTPS
- human
- identifiziert
- unmittelbar
- Bedeutung
- in
- das
- Dazu gehören
- Einschließlich
- Info
- Information
- Anfangs-
- Installieren
- Internet
- beteiligt
- IT
- Januar
- Wissen
- Wissend
- Hebelwirkung
- LINK
- Links
- Maschine
- Maschinen
- um
- Malware
- Management
- Manager
- Mandat
- Nachricht
- Messaging
- Methoden
- Microsoft
- Mobil
- mobile Geräte
- Modell
- mehr
- vor allem warme
- Multifaktor-Authentifizierung
- Name
- Netzwerk
- Netzwerke
- Neu
- Notepad + +
- Anzahl
- Objekt
- EINEM
- Eröffnung
- Opera
- Auftrag
- OS
- Andere
- Anders
- Andernfalls
- Gesamt-
- Pandemie
- Teil
- Passwort
- Passwörter
- Ausführen
- Phishing
- Phishing
- Phishing-Sites
- Plato
- Datenintelligenz von Plato
- PlatoData
- Beliebt
- möglich
- verhindern
- Produkte
- veröffentlicht
- Kauf
- Python
- Empfänger
- empfehlen
- verstärken
- bleibt bestehen
- entfernt
- Fernarbeiter
- antworten
- Forscher
- diejenigen
- Reagieren
- Antwort
- Regel
- Laufen
- Said
- Screenshots
- Suche
- Sicherheitdienst
- Sendung
- empfindlich
- Modellreihe
- ernst
- Leistungen
- sollte
- Seiten
- gleitend
- Hinterhältig
- So
- Social Media
- Soziale Technik
- Software
- einige
- Jemand,
- Quellen
- Spam
- spezifisch
- Verbreitung
- Erklärung
- Aussagen
- Stiehlt
- gestohlen
- stark
- erfolgreich
- so
- System
- Nehmen
- Target
- gezielt
- Ziele
- Technologie
- Das
- ihr
- Thema
- Bedrohung
- Bedrohungsakteure
- Durch
- Zeit
- zu
- Werkzeug
- Werkzeuge
- traditionell
- typisch
- für
- einzigartiges
- Aktualisierung
- Dringlichkeit
- URL
- -
- Mitglied
- Nutzer
- verschiedene
- Verizon
- Version
- Opfer
- Assistent
- virtuellen Maschine
- VPN
- Börsen
- Netz
- Webseite
- Webseiten
- welche
- während
- werden wir
- Fenster
- ohne
- Arbeiter
- Belegschaft
- Zephyrnet
- Zoom