جدید یواشکی دزد اطلاعات از طریق تغییر مسیرهای وب سایت از Google Ads که به عنوان سایت های دانلودی برای نرم افزارهای محبوب نیروی کار از راه دور مانند Zoom و AnyDesk هستند، به ماشین های کاربر می رود.
به گفته محققان Cyble، عوامل تهدید در پشت گونه جدید بدافزار، "Rhadamanthys Stealer" - که برای خرید در Dark Web تحت مدل بدافزار به عنوان یک سرویس در دسترس است - از دو روش تحویل برای انتشار محموله خود استفاده می کنند. در یک پست وبلاگ فاش شد منتشر شده در 12 ژانویه.
یکی از طریق سایتهای فیشینگ با دقت ساخته شده است که جعل سایتهای دانلودی نه تنها برای Zoom، بلکه AnyDesk، Notepad++ و Bluestacks هستند. محققان گفتند که مورد دیگر از طریق ایمیل های فیشینگ معمولی است که بدافزار را به عنوان یک پیوست مخرب ارائه می کند.
هر دو روش تحویل یک تهدید برای شرکت هستند، زیرا فیشینگ همراه با زودباوری انسانی از جانب کارگران شرکتی که از آنها خبر ندارند همچنان راهی موفق برای عوامل تهدید برای «دسترسی غیرمجاز به شبکههای شرکتی است که به یک نگرانی جدی تبدیل شده است». گفت.
در واقع، یک نظرسنجی سالانه توسط Verizon در مورد نقض داده ها دریافت که در سال 2021حدود 82 درصد از تمام نقضها به نوعی مهندسی اجتماعی را شامل میشد، و عوامل تهدید در بیش از 60 درصد مواقع ترجیح میدهند اهداف خود را از طریق ایمیل فیش کنند.
کلاهبرداری "بسیار متقاعد کننده".
محققان تعدادی دامنه فیشینگ را شناسایی کردند که عوامل تهدید برای گسترش Rhadamanthys ایجاد کردند، که به نظر میرسد اکثر آنها لینکهای نصب کننده قانونی برای برندهای مختلف نرمافزار ذکر شده هستند. برخی از پیوندهای مخربی که آنها شناسایی کردند عبارتند از: bluestacks-install[.]com، zoomus-install[.]com، install-zoom[.]com، install-anydesk[.]com و zoom-meetings-install[.]com.
آنها نوشتند: «بازیگران تهدید در پشت این کمپین... یک صفحه وب فیشینگ بسیار متقاعدکننده ایجاد کردند که جعل وبسایتهای قانونی را جعل میکرد تا کاربران را برای دانلود بدافزار دزد که فعالیتهای مخرب انجام میدهد فریب دهد».
به گفته محققان، اگر کاربران طعمه را بپذیرند، وبسایتها فایل نصبی را دانلود میکنند که بهعنوان یک نصبکننده قانونی پنهان شده است تا برنامههای مربوطه را دانلود کنند، و بدون اینکه کاربر بداند، سارق را بیصدا در پسزمینه نصب میکند.
در جنبه سنتی تر ایمیل کمپین، مهاجمان از هرزنامه استفاده می کنند که از ابزار مهندسی اجتماعی معمولی برای به تصویر کشیدن یک فوریت برای پاسخ به پیامی با موضوع مالی استفاده می کند. این ایمیلها به نظر میرسد که بیانیههای حساب را با یک Statement.pdf ضمیمه شده برای گیرندگان ارسال میکنند که به آنها توصیه میشود روی آن کلیک کنند تا بتوانند با «پاسخ فوری» پاسخ دهند.
اگر شخصی بر روی پیوست کلیک کند، پیامی نشان می دهد که "Adobe Acrobat DC Updater" است و شامل یک لینک دانلود با عنوان "دانلود به روز رسانی" است. این پیوند، پس از کلیک بر روی آن، یک بدافزار قابل اجرا برای دزد را از URL دانلود می کند “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” به گفته محققان، وارد پوشه دانلودهای دستگاه قربانی شود.
به گفته آنها، هنگامی که این فایل اجرا می شود، دزد برای برداشتن داده های حساس مانند سابقه مرورگر و اعتبارنامه های مختلف ورود به حساب - از جمله فناوری خاص برای هدف قرار دادن کیف پول رمزنگاری - از رایانه هدف مستقر می شود.
محموله رادامانتیس
رادامانتیس کم و بیش مانند a عمل می کند دزد معمولی اطلاعات; با این حال، دارای برخی از ویژگی های منحصر به فرد است که محققان با مشاهده اجرای آن بر روی دستگاه قربانی شناسایی کردند.
محققان دریافتند اگرچه فایلهای نصب اولیه آن در کدهای مبهم پایتون هستند، اما بار نهایی به صورت یک کد پوسته در قالب یک فایل اجرایی 32 بیتی که با کامپایلر Microsoft Visual C/C++ کامپایل شده است، رمزگشایی میشود.
اولین کار شلکد ایجاد یک شی mutex با هدف اطمینان از اینکه تنها یک کپی از بدافزار در هر زمان معین روی سیستم قربانی اجرا می شود، است. به گفته محققان، ظاهراً برای جلوگیری از شناسایی و تجزیه و تحلیل سارق در یک محیط مجازی، بررسی می کند که آیا روی یک ماشین مجازی در حال اجرا است یا خیر.
آنها نوشتند: "اگر بدافزار تشخیص دهد که در یک محیط کنترل شده در حال اجرا است، اجرای خود را خاتمه می دهد." در غیر این صورت، فعالیت دزدی را طبق برنامه خود ادامه داده و انجام خواهد داد.
این فعالیت شامل جمع آوری اطلاعات سیستم - مانند نام رایانه، نام کاربری، نسخه سیستم عامل و سایر جزئیات دستگاه - با اجرای یک سری از پرس و جوهای ابزار مدیریت ویندوز (WMI) است. برای جستجو و سرقت تاریخچه مرورگر، نشانکها، کوکیها، پر کردن خودکار، و جستجوی فهرستهای مرورگرهای نصبشده - از جمله Brave، Edge، Chrome، Firefox، Opera Software، و غیره - در دستگاه قربانی دنبال میشود. اعتبار ورود.
دزد همچنین دارای یک مأموریت خاص برای هدف قرار دادن کیف پول های مختلف رمزنگاری با اهداف خاصی مانند Armory، Binance، Bitcoin، ByteCoin، WalletWasabi، Zap و موارد دیگر است. به گفته محققان، این ابزار همچنین دادهها را از برنامههای افزودنی مختلف مرورگر کیف پول رمزنگاری میدزدد که در باینری دزد کدگذاری شدهاند.
سایر برنامه های مورد هدف Rhadamanthys عبارتند از: کلاینت های FTP، سرویس گیرندگان ایمیل، مدیران فایل، مدیریت رمز عبور، خدمات VPN و برنامه های پیام رسانی. دزد همچنین اسکرین شات هایی از دستگاه قربانی می گیرد. به گفته محققان، این بدافزار در نهایت تمام داده های سرقت شده را به سرور فرمان و کنترل مهاجمان (C2) ارسال می کند.
خطرات برای شرکت
از زمان همهگیری، نیروی کار شرکتها به طور کلی از نظر جغرافیایی پراکندهتر شدهاند چالش های امنیتی منحصر به فرد. ابزارهای نرم افزاری که همکاری را برای کارگران از راه دور آسان تر می کند - مانند Zoom و AnyDesk - به اهداف محبوبی تبدیل شده اند نه تنها برای تهدیدات خاص برنامه، بلکه برای کمپین های مهندسی اجتماعی توسط مهاجمانی که می خواهند از این چالش ها سرمایه گذاری کنند.
به گفته محققان، در حالی که اکثر کارکنان شرکتها تا به حال بهتر میدانند، فیشینگ همچنان یک راه بسیار موفق برای مهاجمان برای به دست آوردن جای پایی در یک شبکه سازمانی است. به همین دلیل، محققان Cybel توصیه می کنند که همه شرکت ها از محصولات امنیتی برای شناسایی ایمیل های فیشینگ و وب سایت ها در سراسر شبکه خود استفاده کنند. آنها گفتند که اینها همچنین باید به دستگاه های تلفن همراهی که به شبکه های شرکتی دسترسی دارند نیز گسترش یابد.
به گفته محققان، شرکتها باید به کارکنان درباره خطرات باز کردن پیوستهای ایمیل از منابع نامعتبر و همچنین دانلود نرمافزار دزدی از اینترنت آموزش دهند. آنها همچنین باید اهمیت استفاده از رمزهای عبور قوی را تقویت کنند و احراز هویت چندعاملی را تا جایی که ممکن است اعمال کنند.
در نهایت، محققان Cyble توصیه کردند که به عنوان یک قاعده کلی، شرکتها باید URLهایی مانند سایتهای تورنت/وارز را که میتوانند برای انتشار بدافزار استفاده شوند، مسدود کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- درباره ما
- دسترسی
- دسترسی
- حساب
- در میان
- فعالیت ها
- فعالیت
- اعمال
- خشت
- آگهی
- معرفی
- و
- سالیانه
- ظاهر شدن
- برنامه های کاربردی
- برنامه های
- ظاهر
- تصدیق
- در دسترس
- زمینه
- طعمه
- زیرا
- شدن
- پشت سر
- بودن
- بهتر
- بنیان
- بیت کوین
- مسدود کردن
- بلاگ
- بوک مارک ها
- مارک های
- شجاع
- نقض
- مرورگر
- مرورگرهای
- کسب و کار
- کمپین بین المللی حقوق بشر
- مبارزات
- جلب
- Осторожно
- چالش ها
- چک
- کروم
- مشتریان
- رمز
- همکاری
- جمع آوری
- ترکیب شده
- کامپیوتر
- نگرانی
- ادامه دادن
- ادامه
- کنترل
- بیسکویت ها
- شرکت
- ایجاد
- ایجاد شده
- مجوزها و اعتبارات
- عضو سازمانهای سری ومخفی
- کیف پول رمزنگاری
- خطرات
- تاریک
- وب سایت تیره
- داده ها
- خرابی داده ها
- dc
- ارائه
- تحویل
- مستقر
- جزئیات
- شناسایی شده
- دستگاه ها
- دایرکتوری
- پراکنده
- صفحه نمایش
- حوزه
- دانلود
- دانلود
- آسان تر
- لبه
- تعلیم دادن
- پست الکترونیک
- ایمیل
- کارکنان
- مهندسی
- حصول اطمینان از
- سرمایه گذاری
- شرکت
- محیط
- سرانجام
- در نهایت
- اجرا کردن
- اعدام
- ضمیمهها
- جعلی
- امکانات
- پرونده
- فایل ها
- مالی
- فایرفاکس
- نام خانوادگی
- به دنبال
- فرم
- یافت
- از جانب
- افزایش
- سوالات عمومی
- داده
- گوگل
- خیلی
- تاریخ
- اما
- HTTPS
- انسان
- شناسایی
- فوری
- اهمیت
- in
- شامل
- شامل
- از جمله
- اطلاعات
- اطلاعات
- اول
- نصب کردن
- اینترنت
- گرفتار
- IT
- ژان
- دانستن
- دانا
- قدرت نفوذ
- ارتباط دادن
- لینک ها
- دستگاه
- ماشین آلات
- ساخت
- نرم افزارهای مخرب
- مدیریت
- مدیران
- حکم
- پیام
- پیام
- روش
- مایکروسافت
- موبایل
- دستگاه های تلفن همراه
- مدل
- بیش
- اکثر
- احراز هویت چند عاملی
- نام
- شبکه
- شبکه
- جدید
- دفترچه یادداشت + +
- عدد
- هدف
- ONE
- افتتاح
- اپرا
- سفارش
- OS
- دیگر
- دیگران
- در غیر این صورت
- به طور کلی
- بیماری همه گیر
- بخش
- کلمه عبور
- کلمه عبور
- انجام
- فیش
- فیشینگ
- سایت های فیشینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- ممکن
- جلوگیری از
- محصولات
- منتشر شده
- خرید
- پــایتــون
- گیرندگان
- توصیه
- تقویت کردن
- بقایای
- دور
- کارگران از راه دور
- پاسخ
- محققان
- قابل احترام
- پاسخ
- پاسخ
- قانون
- در حال اجرا
- سعید
- تصاویر
- جستجو
- تیم امنیت لاتاری
- در حال ارسال
- حساس
- سلسله
- جدی
- خدمات
- باید
- سایت
- کشویی
- اب زیر کاه
- So
- آگاهی
- مهندسی اجتماعی
- نرم افزار
- برخی از
- کسی
- منابع
- اسپم
- خاص
- گسترش
- بیانیه
- اظهارات
- سرقت می کند
- به سرقت رفته
- قوی
- موفق
- چنین
- سیستم
- گرفتن
- هدف
- هدف قرار
- اهداف
- پیشرفته
- La
- شان
- موضوع
- تهدید
- بازیگران تهدید
- از طریق
- زمان
- به
- ابزار
- ابزار
- سنتی
- نوعی
- زیر
- منحصر به فرد
- بروزرسانی
- ضرورت
- URL
- استفاده کنید
- کاربر
- کاربران
- مختلف
- ورایزون
- نسخه
- از طريق
- قربانی
- مجازی
- ماشین مجازی
- VPN
- کیف پول
- وب
- سایت اینترنتی
- وب سایت
- که
- در حین
- اراده
- پنجره
- بدون
- کارگران
- نیروی کار
- زفیرنت
- زوم