Upea uusi tiedon varastaja liukuu käyttäjien koneille Google Adsin verkkosivustojen uudelleenohjauksilla, jotka ovat suosittujen etätyöohjelmistojen, kuten Zoom ja AnyDesk, lataussivustoja.
Uuden haittaohjelmakannan, "Rhadamanthys Stealer" -haittaohjelmakannan takana olevat uhkatekijät – ostettavissa Dark Webistä malware-as-a-service -mallilla – käyttävät kahta toimitustapaa hyötykuormansa levittämiseen, Cyblen tutkijat. paljasti blogikirjoituksessa julkaistu 12. tammikuuta.
Yksi niistä on huolellisesti laadittujen tietojenkalastelusivustojen kautta, jotka esiintyvät Zoomin lataussivustoina myös AnyDeskin, Notepad++:n ja Bluestacksin lataussivustoina. Toinen tapa on tyypillisempien tietojenkalasteluviestien kautta, jotka toimittavat haittaohjelman haitallisena liitteenä, tutkijat sanoivat.
Molemmat toimitustavat muodostavat uhan yritykselle, sillä tietojenkalastelu yhdistettynä hyväuskoisten yritysten työntekijöiden inhimilliseen uskovaisuuteen on edelleen onnistunut tapa uhkatoimijoille "saada luvaton pääsy yritysverkkoihin, mistä on tullut vakava huolenaihe". sanoi.
Todellakin, vuosittain Verizon tietoturvaloukkauksista havaitsi, että vuonna 2021, noin 82 % kaikista tietomurroista sisälsi sosiaalista manipulointia jossain muodossa, ja uhkatekijät mieluummin tietojenkalastelivat kohteensa sähköpostitse yli 60 % ajasta.
"Erittäin vakuuttava" huijaus
Tutkijat havaitsivat useita phishing-verkkotunnuksia, jotka uhkatoimijat loivat levittääkseen Rhadamanthys-sivustoa, joista useimmat näyttävät olevan laillisia asennuslinkkejä useille edellä mainituille ohjelmistomerkeille. Jotkut heidän tunnistamistaan haitallisista linkeistä ovat: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com ja zoom-meetings-install[.]com.
"Tämän kampanjan takana olevat uhkatoimijat loivat erittäin vakuuttavan tietojenkalastelusivun, joka esiintyy laillisina verkkosivustoina huijatakseen käyttäjiä lataamaan haittaohjelmia, jotka suorittavat haitallisia toimia", he kirjoittivat.
Jos käyttäjät ottavat syötin, verkkosivustot lataavat asennustiedoston, joka on naamioitu lailliseksi asennusohjelmaksi vastaavien sovellusten lataamiseksi, ja asentavat varastajan taustalle käyttäjän tietämättä, tutkijat sanoivat.
Kampanjan perinteisemmässä sähköpostiosassa hyökkääjät käyttävät roskapostia, joka hyödyntää tyypillistä sosiaalisen suunnittelun työkalua, joka kuvaa kiireellistä vastata talousteemaa sisältävään viestiin. Sähköpostien tarkoituksena on lähettää vastaanottajille tiliotteita, joiden liitteenä on Statement.pdf, jota heitä kehotetaan napsauttamaan, jotta he voivat vastata "välittömällä vastauksella".
Jos joku napsauttaa liitettä, se näyttää viestin, joka ilmoittaa, että se on "Adobe Acrobat DC Updater", ja sisältää latauslinkin "Lataa päivitys". Kun linkkiä napsautetaan, se lataa varastajalle suoritettavan haittaohjelman URL-osoitteesta "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" uhrin koneen Lataukset-kansioon, tutkijat sanoivat.
Kun tämä tiedosto on suoritettu, varastaja otetaan käyttöön arkaluontoisten tietojen, kuten selainhistorian ja eri tilin kirjautumistietojen – mukaan lukien salauslompakkoon kohdistuvan tekniikan – poistamiseksi kohteen tietokoneelta, he sanoivat.
Rhadamanthys-kuorma
Rhadamanthys toimii enemmän tai vähemmän kuin a tyypillinen tietovarastaja; siinä on kuitenkin joitain ainutlaatuisia piirteitä, jotka tutkijat tunnistivat tarkkaillessaan sen suorittamista uhrin koneessa.
Vaikka sen alkuperäiset asennustiedostot ovat hämärässä Python-koodissa, lopullinen hyötykuorma puretaan kuorikoodiksi 32-bittisen suoritettavan tiedoston muodossa, joka on käännetty Microsoftin Visual C/C++ -kääntäjällä, tutkijat havaitsivat.
Shellcoden ensimmäinen tehtävä on luoda mutex-objekti, jonka tarkoituksena on varmistaa, että vain yksi kopio haittaohjelmasta on käynnissä uhrin järjestelmässä kerrallaan. Se myös tarkistaa, toimiiko se virtuaalikoneessa, näennäisesti estääkseen varastajan havaitsemisen ja analysoinnin virtuaaliympäristössä, tutkijat sanoivat.
"Jos haittaohjelma havaitsee, että se toimii valvotussa ympäristössä, se lopettaa suorituksensa", he kirjoittivat. "Muuten se jatkaa ja suorittaa varastamisen tarkoitetulla tavalla."
Tämä toiminta sisältää järjestelmätietojen, kuten tietokoneen nimen, käyttäjänimen, käyttöjärjestelmäversion ja muiden koneen tietojen keräämisen suorittamalla sarjan Windows Management Instrumentation (WMI) -kyselyjä. Tämän jälkeen tehdään kysely asennettujen selaimien hakemistoista – mukaan lukien Brave, Edge, Chrome, Firefox, Opera Software ja muut – uhrin koneelle, jotta voidaan etsiä ja varastaa selainhistoriaa, kirjanmerkkejä, evästeitä, automaattisia täyttöjä ja kirjautumistiedot.
Varastajalla on myös erityinen mandaatti kohdistaa eri kryptolompakkoja tiettyihin kohteisiin, kuten Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap ja muut. Se varastaa myös tietoja erilaisista salauslompakko-selainlaajennuksista, jotka on koodattu stealer-binaariin, tutkijat sanoivat.
Muita Rhadamanthysin kohdistamia sovelluksia ovat: FTP-asiakkaat, sähköpostiohjelmat, tiedostonhallintaohjelmat, salasanojen hallintaohjelmat, VPN-palvelut ja viestisovellukset. Varastaja ottaa myös kuvakaappauksia uhrin koneesta. Haittaohjelma lähettää lopulta kaikki varastetut tiedot hyökkääjien komento- ja ohjauspalvelimelle (C2), tutkijat sanoivat.
Vaarat yritykselle
Pandemian jälkeen yritysten työvoimasta on tullut maantieteellisesti hajaantuneempi, poseeraamassa ainutlaatuisia turvallisuushaasteita. Ohjelmistotyökaluista, jotka helpottavat etätyöntekijöiden yhteistyötä, kuten Zoom ja AnyDesk, on tullut suosittuja kohteita paitsi sovelluskohtaisia uhkia, mutta myös sosiaalisen manipuloinnin kampanjoita hyökkääjille, jotka haluavat hyötyä näistä haasteista.
Ja vaikka useimpien yritysten työntekijöiden pitäisi tähän mennessä tietää paremmin, tietojenkalastelu on edelleen erittäin onnistunut tapa hyökkääjille saada jalansijaa yritysverkostossa, tutkijat sanoivat. Tämän vuoksi Cybelin tutkijat suosittelevat, että kaikki yritykset käyttävät tietoturvatuotteita tietojenkalasteluviestien ja -sivustojen havaitsemiseen verkossaan. Heidän mukaansa ne pitäisi ulottaa myös mobiililaitteisiin, jotka käyttävät yritysten verkkoja.
Tutkijat sanoivat, että yritysten tulisi kouluttaa työntekijöitä vaaroista, joita aiheutuu sähköpostin liitteiden avaamisesta epäluotettavista lähteistä sekä laittomien ohjelmistojen lataamisesta Internetistä. Niiden tulisi myös vahvistaa vahvojen salasanojen käyttöä ja pakottaa monitekijäinen todennus aina kun mahdollista.
Lopuksi Cyblen tutkijat neuvoivat, että yleisenä nyrkkisääntönä yritysten tulisi estää URL-osoitteet, kuten Torrent-/Warez-sivustot, joita voidaan käyttää haittaohjelmien levittämiseen.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Meistä
- pääsy
- Pääsy
- Tili
- poikki
- toiminta
- toiminta
- säädökset
- Adobe
- mainokset
- Kaikki
- ja
- vuotuinen
- näyttää
- sovellukset
- sovellukset
- ulkomuoto
- Authentication
- saatavissa
- tausta
- syötti
- koska
- tulevat
- takana
- ovat
- Paremmin
- binance
- Bitcoin
- Tukkia
- Uutiset ja media
- kirjanmerkit
- merkit
- rohkea
- rikkomisesta
- selain
- selaimet
- liiketoiminta
- Kampanja
- Kampanjat
- kaappaa
- huolellisesti
- haasteet
- Tarkastukset
- kromi
- asiakkaat
- koodi
- tehdä yhteistyötä
- Kerääminen
- yhdistetty
- tietokone
- Koskea
- jatkaa
- jatkuu
- hallinnassa
- keksit
- Yrityksen
- luoda
- luotu
- Valtakirja
- Crypto
- crypto-lompakot
- vaaroista
- tumma
- tumma Web
- tiedot
- Tietojen rikkominen
- dc
- toimittaa
- toimitus
- käyttöön
- yksityiskohdat
- havaittu
- Laitteet
- hakemistot
- dispergoituneena
- näytöt
- verkkotunnuksia
- download
- lataukset
- helpompaa
- reuna
- kouluttaa
- sähköpostit
- työntekijää
- Tekniikka
- varmistamalla
- yritys
- yrityksille
- ympäristö
- lopullinen
- lopulta
- täytäntöönpanosta
- teloitus
- laajennukset
- väärennös
- Ominaisuudet
- filee
- Asiakirjat
- taloudellinen
- Firefox
- Etunimi
- seurannut
- muoto
- löytyi
- alkaen
- Saada
- general
- tietty
- erittäin
- historia
- Kuitenkin
- HTTPS
- ihmisen
- tunnistettu
- Välitön
- merkitys
- in
- sisältää
- sisältää
- Mukaan lukien
- tiedot
- tiedot
- ensimmäinen
- asentaminen
- Internet
- osallistuva
- IT
- Johannes
- Tietää
- tietäen
- Vaikutusvalta
- LINK
- linkit
- kone
- Koneet
- tehdä
- haittaohjelmat
- johto
- Päättäjät
- Mandaatti
- viesti
- Viestit
- menetelmät
- Microsoft
- Puhelinnumero
- mobiililaitteet
- malli
- lisää
- eniten
- monitekijäinen todennus
- nimi
- verkko
- verkot
- Uusi
- Notepad ++
- numero
- objekti
- ONE
- avaaminen
- Opera
- tilata
- OS
- Muut
- Muuta
- muuten
- yleinen
- pandeeminen
- osa
- Salasana
- salasanat
- Suorittaa
- phish
- Phishing
- Tietojenkalastelusivustot
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- mahdollinen
- estää
- Tuotteemme
- julkaistu
- osto
- Python
- vastaanottajat
- suositella
- vahvistaa
- jäännökset
- kaukosäädin
- etätyöntekijät
- vastata
- Tutkijat
- ne
- Vastata
- vastaus
- Sääntö
- juoksu
- Said
- kuvakaappauksia
- Haku
- turvallisuus
- lähettäminen
- sensible
- Sarjat
- vakava
- Palvelut
- shouldnt
- Sivustot
- liukuva
- Luihu
- So
- sosiaalinen
- Sosiaalinen insinööri
- Tuotteemme
- jonkin verran
- Joku
- Lähteet
- spam
- erityinen
- levitä
- Lausunto
- lausuntoja
- varastaa
- varastettu
- vahva
- onnistunut
- niin
- järjestelmä
- ottaa
- Kohde
- kohdennettu
- tavoitteet
- Elektroniikka
- -
- heidän
- teema
- uhkaus
- uhka toimijat
- Kautta
- aika
- että
- työkalu
- työkalut
- perinteinen
- tyypillinen
- varten
- unique
- Päivitykset
- kiireellisyys
- URL
- käyttää
- käyttäjä
- Käyttäjät
- eri
- Verizon
- versio
- kautta
- Uhri
- Virtual
- virtuaalikone
- VPN
- Lompakot
- verkko
- Verkkosivu
- sivustot
- joka
- vaikka
- tulee
- ikkunat
- ilman
- työntekijöitä
- työvoima
- zephyrnet
- zoomaus