Una nueva furtiva ladrón de información se está deslizando en las máquinas de los usuarios a través de redireccionamientos de sitios web desde Google Ads que se hacen pasar por sitios de descarga para software popular de fuerza de trabajo remota, como Zoom y AnyDesk.
Los actores de amenazas detrás de la nueva cepa de malware, "Rhadamanthys Stealer", disponible para su compra en Dark Web bajo un modelo de malware como servicio, están utilizando dos métodos de entrega para propagar su carga útil, investigadores de Cyble revelado en una publicación de blog publicado el 12 de enero.
Uno es a través de sitios de phishing cuidadosamente diseñados que se hacen pasar por sitios de descarga no solo para Zoom sino también para AnyDesk, Notepad ++ y Bluestacks. El otro es a través de correos electrónicos de phishing más típicos que entregan el malware como un archivo adjunto malicioso, dijeron los investigadores.
Ambos métodos de entrega representan una amenaza para la empresa, ya que el phishing combinado con la credulidad humana por parte de los trabajadores corporativos desprevenidos sigue siendo una forma exitosa para que los actores de amenazas "obtengan acceso no autorizado a las redes corporativas, lo que se ha convertido en una preocupación grave". dicho.
Es verdad que la una encuesta anual por Verizon sobre violaciones de datos descubrió que en 2021, alrededor del 82 % de todas las infracciones involucraron ingeniería social de alguna forma, y los actores de amenazas prefirieron phishing a sus objetivos por correo electrónico más del 60 % de las veces.
Estafa "altamente convincente"
Los investigadores detectaron una serie de dominios de phishing que los actores de amenazas crearon para propagar Rhadamanthys, la mayoría de los cuales parecen ser enlaces de instalación legítimos para las diversas marcas de software antes mencionadas. Algunos de los enlaces maliciosos que identificaron incluyen: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com y zoom-meetings-install[.]com.
“Los actores de amenazas detrás de esta campaña… crearon una página web de phishing muy convincente que se hace pasar por sitios web legítimos para engañar a los usuarios para que descarguen el malware ladrón, que lleva a cabo actividades maliciosas”, escribieron.
Si los usuarios muerden el anzuelo, los sitios web descargarán un archivo de instalación disfrazado de instalador legítimo para descargar las aplicaciones respectivas, instalando silenciosamente el ladrón en segundo plano sin que el usuario lo sepa, dijeron los investigadores.
En el aspecto de correo electrónico más tradicional de la campaña, los atacantes utilizan spam que aprovecha la típica herramienta de ingeniería social de mostrar la urgencia de responder a un mensaje con un tema financiero. Los correos electrónicos pretenden enviar estados de cuenta a los destinatarios con un archivo Statement.pdf adjunto en el que se les recomienda hacer clic para que puedan responder con una "respuesta inmediata".
Si alguien hace clic en el archivo adjunto, muestra un mensaje que indica que se trata de una "Actualización de Adobe Acrobat DC" e incluye un enlace de descarga con la etiqueta "Descargar actualización". Ese enlace, una vez que se hace clic en él, descarga un ejecutable de malware para el ladrón de la URL “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” en la carpeta Descargas de la máquina víctima, dijeron los investigadores.
Una vez que se ejecuta este archivo, el ladrón se implementa para extraer datos confidenciales, como el historial del navegador y varias credenciales de inicio de sesión de la cuenta, incluida la tecnología específica para apuntar a la billetera criptográfica, desde la computadora del objetivo, dijeron.
La carga útil de Rhadamanthys
Rhadamanthys actúa más o menos como un ladrón de información típico; sin embargo, tiene algunas características únicas que los investigadores identificaron al observar su ejecución en la máquina de la víctima.
Aunque sus archivos de instalación iniciales están en código Python ofuscado, la carga útil final se decodifica como un código shell en forma de un archivo ejecutable de 32 bits compilado con el compilador visual C/C++ de Microsoft, encontraron los investigadores.
La primera orden del día del shellcode es crear un objeto mutex destinado a garantizar que solo se ejecute una copia del malware en el sistema de la víctima en un momento dado. También verifica si se está ejecutando en una máquina virtual, aparentemente para evitar que el ladrón sea detectado y analizado en un entorno virtual, dijeron los investigadores.
“Si el malware detecta que se está ejecutando en un entorno controlado, terminará su ejecución”, escribieron. "De lo contrario, continuará y realizará la actividad de ladrón según lo previsto".
Esa actividad incluye la recopilación de información del sistema, como el nombre de la computadora, el nombre de usuario, la versión del sistema operativo y otros detalles de la máquina, mediante la ejecución de una serie de consultas de Instrumental de administración de Windows (WMI). A eso le sigue una consulta de los directorios de los navegadores instalados, incluidos Brave, Edge, Chrome, Firefox, Opera Software y otros, en la máquina de la víctima para buscar y robar el historial del navegador, marcadores, cookies, autocompletar y credenciales de acceso.
El ladrón también tiene un mandato específico para apuntar a varias billeteras criptográficas, con objetivos específicos como Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap y otros. También roba datos de varias extensiones de navegador de criptobilleteras, que están codificadas en el binario del ladrón, dijeron los investigadores.
Otras aplicaciones a las que apunta Rhadamanthys son: clientes FTP, clientes de correo electrónico, administradores de archivos, administradores de contraseñas, servicios VPN y aplicaciones de mensajería. El ladrón también captura capturas de pantalla de la máquina de la víctima. El malware eventualmente envía todos los datos robados al servidor de comando y control (C2) de los atacantes, dijeron los investigadores.
Peligros para la empresa
Desde la pandemia, la fuerza laboral corporativa se ha vuelto en general más dispersa geográficamente, planteando desafíos de seguridad únicos. Las herramientas de software que facilitan la colaboración de los trabajadores remotos, como Zoom y AnyDesk, se han convertido en objetivos populares no solo para amenazas específicas de la aplicación, sino también para las campañas de ingeniería social de los atacantes que quieren capitalizar estos desafíos.
Y aunque la mayoría de los trabajadores corporativos ahora deberían saberlo mejor, el phishing sigue siendo una forma muy exitosa para que los atacantes se afiancen en una red empresarial, dijeron los investigadores. Debido a esto, los investigadores de Cybel recomiendan que todas las empresas utilicen productos de seguridad para detectar correos electrónicos y sitios web de phishing en su red. Estos también deberían extenderse a los dispositivos móviles que acceden a las redes corporativas, dijeron.
Las empresas deben educar a los empleados sobre los peligros de abrir archivos adjuntos de correo electrónico de fuentes no confiables, así como descargar software pirateado de Internet, dijeron los investigadores. También deben reforzar la importancia de usar contraseñas seguras y hacer cumplir la autenticación multifactor siempre que sea posible.
Finalmente, los investigadores de Cyble recomendaron que, como regla general, las empresas deberían bloquear las URL, como los sitios de Torrent/Warez, que pueden usarse para propagar malware.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Nuestra Empresa
- de la máquina
- el acceso
- Mi Cuenta
- a través de
- actividades
- actividad
- hechos
- adobe
- Anuncios
- Todos
- y
- anual
- Aparecer
- aplicaciones
- aplicaciones
- aspecto
- Autenticación
- Hoy Disponibles
- fondo
- cebo
- porque
- a las que has recomendado
- detrás de
- "Ser"
- mejores
- binance
- Bitcoin
- Bloquear
- Blog
- marcadores
- marcas
- valiente
- infracciones
- cada navegador
- navegadores
- Campaña
- Campañas
- capturas
- estudiar cuidadosamente
- retos
- Cheques
- Chrome
- clientes
- código
- colaboran
- El cobro
- combinado
- computadora
- Protocolo de Tratamiento
- continue
- continúa
- controlado
- galletas
- Sector empresarial
- Para crear
- creado
- Referencias
- cripto
- carteras de cifrado
- peligros
- Oscuro
- Web Obscura
- datos
- Incumplimiento de datos
- dc
- entregamos
- entrega
- desplegado
- detalles
- detectado
- Dispositivos
- directorios
- disperso
- dominios
- descargar
- Descargas
- más fácil
- Southern Implants
- educar
- correo
- personas
- Ingeniería
- asegurando que
- Empresa
- empresas
- Entorno
- eventual
- finalmente
- ejecución
- ejecución
- extensiones
- falso
- Caracteristicas
- Archive
- archivos
- financiero
- Firefox
- Nombre
- seguido
- formulario
- encontrado
- en
- Obtén
- General
- dado
- altamente
- historia
- Sin embargo
- HTTPS
- humana
- no haber aun identificado una solucion para el problema
- inmediata
- importancia
- in
- incluir
- incluye
- Incluye
- info
- información
- inicial
- instalando
- Internet
- involucra
- IT
- Ene
- Saber
- Conocer
- Apalancamiento
- LINK
- enlaces
- máquina
- Máquinas
- para lograr
- el malware
- Management
- Managers
- mandato
- mensaje
- mensajería
- métodos
- Microsoft
- Móvil
- dispositivos móviles
- modelo
- más,
- MEJOR DE TU
- autenticación multifactor
- nombre
- del sistema,
- telecomunicaciones
- Nuevo
- Notepad ++
- número
- objeto
- ONE
- apertura
- Opera
- solicite
- OS
- Otro
- Otros
- de otra manera
- total
- pandemia
- parte
- Contraseña
- contraseñas
- (PDF)
- Realizar
- phish
- suplantación de identidad
- Sitios de phishing
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- posible
- evitar
- Productos
- publicado
- comprar
- Python
- destinatarios
- recomiendan
- reforzarse
- permanece
- sanaciones
- trabajadores remotos
- responder
- investigadores
- aquellos
- Responder
- respuesta
- Regla
- correr
- Said
- capturas de pantalla
- Buscar
- EN LINEA
- enviando
- sensible
- Serie
- grave
- Servicios
- tienes
- Sitios Web
- corredizo
- Furtivo
- So
- Social
- Ingeniería social
- Software
- algo
- Alguien
- Fuentes
- correo no deseado (spam)
- soluciones y
- propagación
- Posicionamiento
- declaraciones
- robos
- robada
- fuerte
- exitosos
- tal
- te
- ¡Prepárate!
- Target
- afectados
- tiene como objetivo
- Tecnología
- El
- su
- tema
- amenaza
- actores de amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- del IRS
- tradicional
- principiante
- bajo
- único
- Actualizar
- urgencia
- Enlance
- utilizan el
- Usuario
- usuarios
- diversos
- Verizon
- versión
- vía
- Víctima
- Virtual
- máquina virtual
- VPN
- Carteras
- web
- Página web
- sitios web
- que
- mientras
- seguirá
- ventanas
- sin
- los trabajadores.
- Empleados
- zephyrnet
- Zoom