Jube uus info varastaja libiseb kasutajate masinatele Google Adsi veebisaitide ümbersuunamiste kaudu, mis kujutavad endast populaarse kaugtöötarkvara (nt Zoom ja AnyDesk) allalaadimissaitidena.
Cyble'i uurijad kasutavad uue pahavara tüve "Rhadamanthys Stealer" taga olevad ohustajad, mida saab osta Dark Web'ist ründevara kui teenuse mudeli alusel. ilmus ajaveebipostituses avaldati 12. jaan.
Üks neist on hoolikalt koostatud andmepüügisaitide kaudu, mis kehastavad allalaadimissaite mitte ainult Zoomi, vaid ka AnyDeski, Notepad++ ja Bluestacksi jaoks. Teine on tüüpilisemate andmepüügimeilide kaudu, mis edastavad pahavara pahatahtliku manusena, ütlesid teadlased.
Mõlemad edastusviisid kujutavad endast ohtu ettevõttele, kuna andmepüük koos pahaaimamatute ettevõtete töötajate inimliku kergeusklikkusega on jätkuvalt edukas viis ohus osalejatele "saada volitamata juurdepääs ettevõtte võrkudele, mis on muutunud tõsiseks probleemiks". ütles.
Tõepoolest, iga-aastane uuring Verizon andmetega seotud rikkumiste kohta leidis, et 2021. a, hõlmas umbes 82% kõigist rikkumistest mingil kujul sotsiaalset manipuleerimist, kusjuures ohus osalejad eelistasid enam kui 60% juhtudest oma sihtmärke e-posti teel andmepüüki teha.
"Väga veenev" pettus
Teadlased tuvastasid mitmeid andmepüügidomeene, mille ohus osalejad lõid Rhadamanthyse levitamiseks, millest enamik näib olevat erinevate eelnimetatud tarkvarabrändide seaduslikud installilingid. Mõned nende tuvastatud pahatahtlikud lingid hõlmavad järgmist: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com ja zoom-meetings-install[.]com.
"Selle kampaania taga seisvad ohustajad … lõid ülimalt veenva andmepüügiveebi, mis kehastub seaduslike veebisaitidena, et meelitada kasutajaid alla laadima varastatavat pahavara, mis viib läbi pahatahtlikke tegevusi," kirjutasid nad.
Kui kasutajad võtavad sööda, laadivad veebisaidid vastavate rakenduste allalaadimiseks alla installifaili, mis on maskeeritud seaduslikuks installijaks, installides varguse taustale vaikselt, ilma kasutaja teadmata, ütlesid teadlased.
Kampaania traditsioonilisemas meiliaspektis kasutavad ründajad rämpsposti, mis kasutab tüüpilist sotsiaalse korralduse vahendit, mis kujutab endast kiireloomulist vajadust vastata finantsteemalisele sõnumile. Meilide eesmärk on saata adressaatidele kontoväljavõtteid koos failiga Statement.pdf, millel on soovitatav klõpsata, et nad saaksid vastata kohese vastusega.
Kui keegi klõpsab manusel, kuvatakse teade, mis näitab, et see on Adobe Acrobat DC Updater, ja sisaldab allalaadimislinki nimega „Laadi alla värskendus”. Kui sellel lingil klõpsate, laadib see URL-ilt alla varastaja jaoks käivitatava pahavara "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" ohvri masina kausta Allalaadimised, ütlesid teadlased.
Kui see fail on käivitatud, võetakse varastaja kasutusele tundlike andmete, nagu brauseri ajalugu ja mitmesugused konto sisselogimismandaadid, sealhulgas krüptorahakoti sihtimise spetsiifiline tehnoloogia, eemaldamiseks sihtmärgi arvutist, ütlesid nad.
Rhadamanthyse koorem
Rhadamanthys käitub enam-vähem nagu a tüüpiline infovarastaja; Siiski on sellel mõned ainulaadsed omadused, mille teadlased tuvastasid, kui nad jälgisid selle täideviimist ohvri masinas.
Kuigi selle algsed installifailid on ähmastatud Pythoni koodis, dekodeeritakse lõplik kasulik koormus shellkoodina 32-bitise käivitatava faili kujul, mis on kompileeritud Microsofti visuaalse C/C++ kompilaatoriga, leidsid teadlased.
Shellcode'i esimene ülesanne on luua mutex-objekt, mille eesmärk on tagada, et ohvri süsteemis töötaks igal ajahetkel ainult üks pahavara koopia. Samuti kontrollib see, kas see töötab virtuaalmasinas, näiliselt selleks, et vältida varastaja tuvastamist ja analüüsimist virtuaalses keskkonnas, ütlesid teadlased.
"Kui pahavara tuvastab, et see töötab kontrollitud keskkonnas, lõpetab see selle täitmise," kirjutasid nad. "Vastasel juhul jätkab see varastamistegevust ettenähtud viisil."
See tegevus hõlmab süsteemiteabe (nt arvuti nimi, kasutajanimi, OS-i versioon ja muud masina üksikasjad) kogumist Windows Management Instrumentationi (WMI) päringute seeria abil. Sellele järgneb ohvri masinasse installitud brauserite (sh Brave, Edge, Chrome, Firefox, Opera Software ja teised) kataloogide päring, et otsida ja varastada brauseri ajalugu, järjehoidjaid, küpsiseid, automaatseid täiteid ja sisselogimismandaadid.
Varasel on ka konkreetne mandaat sihtida erinevaid krüptorahakotte, millel on konkreetsed sihtmärgid, nagu Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap ja teised. Samuti varastab see andmeid erinevatest krüptorahakoti brauseri laiendustest, mis on varguse binaarfailis kõvasti kodeeritud, ütlesid teadlased.
Teised Rhadamanthysi sihitud rakendused on: FTP-kliendid, e-posti kliendid, failihaldurid, paroolihaldurid, VPN-teenused ja sõnumsiderakendused. Varastaja jäädvustab ka ekraanipilte ohvri masinast. Teadlaste sõnul saadab pahavara lõpuks kõik varastatud andmed ründajate käsu- ja juhtimisserverisse (C2).
Ohud ettevõttele
Pärast pandeemiat on ettevõtete tööjõud üldiselt geograafiliselt hajutatud ja poseerinud ainulaadsed turvaprobleemid. Tarkvaratööriistad, mis muudavad kaugtöötajate koostöö lihtsamaks – nagu Zoom ja AnyDesk – on muutunud populaarseteks sihtmärkideks mitte ainult rakendusepõhised ohud, aga ka sotsiaalse manipuleerimise kampaaniate jaoks, mida korraldavad ründajad, kes soovivad neid väljakutseid ära kasutada.
Ja kuigi enamik ettevõtte töötajaid peaks praeguseks paremini teadma, on andmepüük endiselt väga edukas viis, kuidas ründajad ettevõtte võrgus jalad alla saada, ütlesid teadlased. Seetõttu soovitavad Cybeli teadlased kõigil ettevõtetel kasutada andmepüügimeilide ja -veebisaitide tuvastamiseks oma võrgus turbetooteid. Nad ütlesid, et neid tuleks laiendada ka mobiilseadmetele, millel on juurdepääs ettevõtte võrkudele.
Teadlased ütlesid, et ettevõtted peaksid töötajaid teavitama ohtudest, mis kaasnevad ebausaldusväärsetest allikatest pärit meilimanuste avamisega ja Internetist piraattarkvara allalaadimisega. Samuti peaksid nad rõhutama tugevate paroolide kasutamise tähtsust ja jõustama võimaluse korral mitmefaktorilist autentimist.
Lõpuks soovitasid Cyble'i teadlased, et üldreeglina peaksid ettevõtted blokeerima URL-id (nt Torrenti/Warezi saidid), mida saab kasutada pahavara levitamiseks.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- MEIST
- juurdepääs
- Ligipääs
- konto
- üle
- tegevus
- tegevus
- õigusaktid
- Adobe
- kuulutused
- Materjal: BPA ja flataatide vaba plastik
- ja
- aastane
- ilmuma
- rakendused
- apps
- aspekt
- Autentimine
- saadaval
- tagapõhi
- sööt
- sest
- muutuma
- taga
- on
- Parem
- binants
- Bitcoin
- Blokeerima
- Blogi
- järjehoidjad
- brändid
- julge
- rikkumisi
- brauseri
- brauserid
- äri
- Kampaania
- Kampaaniad
- lööb
- hoolikalt
- väljakutseid
- Kontroll
- Kroom
- kliendid
- kood
- Teevad koostööd
- Kollektsioneerimine
- kombineeritud
- arvuti
- Murettekitav
- jätkama
- pidev
- kontrollitud
- küpsised
- Korporatiivne
- looma
- loodud
- volikiri
- krüpto
- krüptorahakotid
- ohud
- tume
- Dark Web
- andmed
- Andmete rikkumine
- dc
- tarnima
- tarne
- lähetatud
- detailid
- tuvastatud
- seadmed
- kataloogid
- laiali
- Näidikute
- Domeenid
- lae alla
- allalaadimine
- lihtsam
- serv
- harima
- kirju
- töötajad
- Inseneriteadus
- tagades
- ettevõte
- ettevõtete
- keskkond
- lõpuks
- lõpuks
- hukkamine
- täitmine
- laiendused
- võlts
- FUNKTSIOONID
- fail
- Faile
- finants-
- Firefox
- esimene
- Järgneb
- vorm
- avastatud
- Alates
- kasu
- Üldine
- antud
- kõrgelt
- ajalugu
- aga
- HTTPS
- inim-
- tuvastatud
- Vahetu
- tähtsus
- in
- sisaldama
- hõlmab
- Kaasa arvatud
- info
- info
- esialgne
- paigaldamine
- Internet
- seotud
- IT
- John
- Teadma
- Teades
- Finantsvõimendus
- LINK
- lingid
- masin
- masinad
- tegema
- malware
- juhtimine
- Juhid
- Mandaat
- sõnum
- Sõnumid
- meetodid
- Microsoft
- mobiilne
- mobiilseadmete
- mudel
- rohkem
- kõige
- mitme teguri autentimine
- nimi
- võrk
- võrgustikud
- Uus
- Notepad + +
- number
- objekt
- ONE
- avamine
- Opera
- et
- OS
- Muu
- teised
- muidu
- üldine
- pandeemia
- osa
- Parool
- paroolid
- täitma
- phish
- Phishing
- Andmepüügisaidid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- võimalik
- vältida
- Toodet
- avaldatud
- ostma
- Python
- saajatele
- soovitama
- tugevdama
- jäänused
- kauge
- kaugtöölised
- vastus
- Teadlased
- need
- Reageerida
- vastus
- Eeskiri
- jooksmine
- Ütlesin
- ekraanipilte
- Otsing
- turvalisus
- saatmine
- tundlik
- Seeria
- tõsine
- Teenused
- peaks
- Saidid
- liug
- Alatu
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- mõned
- Keegi
- Allikad
- spam
- konkreetse
- laiali
- väljavõte
- avaldused
- varastatakse
- varastatud
- tugev
- edukas
- selline
- süsteem
- Võtma
- sihtmärk
- suunatud
- eesmärgid
- Tehnoloogia
- .
- oma
- teema
- oht
- ohus osalejad
- Läbi
- aeg
- et
- tööriist
- töövahendid
- traditsiooniline
- tüüpiline
- all
- ainulaadne
- Värskendused
- pakilisus
- URL
- kasutama
- Kasutaja
- Kasutajad
- eri
- Verizon
- versioon
- kaudu
- Ohver
- virtuaalne
- virtuaalne masin
- VPN
- Rahakotid
- web
- veebisait
- veebilehed
- mis
- kuigi
- will
- aknad
- ilma
- töötajate
- Tööjõud
- sephyrnet
- zoom