Egy sunyi új információlopó a Google Ads webhely-átirányításain keresztül a felhasználói gépekre csúszik, amelyek letöltési oldalként szolgálnak a népszerű távoli munkaerő-szoftverekhez, például a Zoomhoz és az AnyDeskhez.
A Cyble kutatói szerint az új rosszindulatú programtörzs, a „Rhadamanthys Stealer” fenyegető szereplői – amely megvásárolható a Dark Web-en malware-as-a-service modellben derült ki egy blogbejegyzésből január 12-én jelent meg.
Az egyik a gondosan kidolgozott adathalász oldalak, amelyek nemcsak a Zoom, hanem az AnyDesk, a Notepad++ és a Bluestacks letöltőoldalait is megszemélyesítik. A másik a tipikusabb adathalász e-maileken keresztül, amelyek rosszindulatú mellékletként továbbítják a rosszindulatú programot, mondták a kutatók.
Mindkét kézbesítési mód veszélyt jelent a vállalkozásra, mivel a gyanútlan vállalati dolgozók emberi hiszékenységével párosuló adathalászat továbbra is sikeres módja annak, hogy a fenyegetés szereplői „jogosulatlan hozzáférést kapjanak a vállalati hálózatokhoz, ami komoly aggodalomra ad okot”. mondott.
Valóban, éves felmérés a Verizon az adatvédelmi incidensekről megállapította, hogy 2021, az összes jogsértés körülbelül 82%-a érintett valamilyen formában szociális manipulációt, és a fenyegetés szereplői az esetek több mint 60%-ában inkább e-mailben adathalásznak célpontjaikat.
„Nagyon meggyőző” átverés
A kutatók számos adathalász tartományt észleltek, amelyeket a fenyegetés szereplői hoztak létre a Rhadamanthys terjesztése érdekében, amelyek többsége legitim telepítő hivatkozásnak tűnik a különböző fent említett szoftvermárkákhoz. Az általuk azonosított rosszindulatú linkek közül néhány: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com és zoom-meetings-install[.]com.
„A kampány mögött meghúzódó fenyegetés szereplői… egy rendkívül meggyőző adathalász weboldalt hoztak létre, amely legitim webhelyeket ad ki, hogy rávegye a felhasználókat a rosszindulatú, rosszindulatú kártevők letöltésére” – írták.
Ha a felhasználók megragadják a csalit, a webhelyek letöltenek egy telepítőfájlt, amelyet legitim telepítőnek álcázva töltenek le a megfelelő alkalmazások letöltéséhez, és a háttérben csendben telepítik a lopót, anélkül, hogy a felhasználó tudná, a kutatók szerint.
A kampány hagyományosabb e-mail aspektusában a támadók spameket használnak, amelyek a tipikus social engineering eszközt használják fel, amely azt a sürgősséget ábrázolja, hogy egy pénzügyi témájú üzenetre válaszolni kell. Az e-mailek azt állítják, hogy számlakivonatokat küldenek a címzetteknek, csatolva a Statement.pdf fájlt, amelyre azt tanácsoljuk, hogy kattintson rá, hogy „azonnali választ” tudjanak válaszolni.
Ha valaki rákattint a mellékletre, megjelenik egy üzenet, amely jelzi, hogy ez egy „Adobe Acrobat DC Updater”, és tartalmaz egy „Frissítés letöltése” feliratú letöltési hivatkozást. Ez a hivatkozás, ha rákattint, letölt egy rosszindulatú program futtatható fájlját a lopóhoz az URL-ről „https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” az áldozat gépének Letöltések mappájába – mondták a kutatók.
A fájl végrehajtása után a lopót telepítik, hogy kiemelje az olyan érzékeny adatokat, mint a böngészési előzmények és a különböző fiókbejelentkezési hitelesítő adatok – beleértve a titkosítási pénztárcát célzó speciális technológiát – a célpont számítógépéről.
A Rhadamanthys rakomány
Rhadamanthys többé-kevésbé úgy viselkedik, mint a tipikus információlopó; azonban van néhány egyedi jellemzője, amelyeket a kutatók azonosítottak, amikor megfigyelték a végrehajtását az áldozat gépén.
A kutatók megállapították, hogy bár a kezdeti telepítőfájlok homályos Python-kódban vannak, a végső hasznos adatot shellkódként dekódolják egy 32 bites futtatható fájl formájában, amelyet a Microsoft Visual C/C++ fordítójával fordítottak le.
A shellcode első feladata egy mutex objektum létrehozása, amelynek célja annak biztosítása, hogy a rosszindulatú programnak egy adott időpontban csak egy példánya fusson az áldozat rendszerén. Azt is ellenőrzi, hogy virtuális gépen fut-e, látszólag azért, hogy megakadályozza a lopakodó észlelését és elemzését egy virtuális környezetben – mondták a kutatók.
„Ha a kártevő azt észleli, hogy ellenőrzött környezetben fut, leállítja a végrehajtását” – írták. "Egyébként folytatja, és rendeltetésszerűen hajtja végre a lopási tevékenységet."
Ez a tevékenység magában foglalja a rendszerinformációk – például a számítógépnév, a felhasználónév, az operációs rendszer verziója és egyéb gépadatok – gyűjtését a Windows Management Instrumentation (WMI) lekérdezések sorozatának végrehajtásával. Ezt követi az áldozat gépén telepített böngészők – köztük a Brave, Edge, Chrome, Firefox, Opera Software és mások – könyvtárainak lekérdezése, hogy megkeresse és ellopja a böngésző előzményeit, könyvjelzőit, cookie-jait, automatikus kitöltéseit és bejelentkezési adatait.
A lopakodónak külön megbízatása is van a különféle kriptopénztárcák megcélzására, olyan konkrét célokkal, mint az Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap és mások. A kutatók szerint különféle kriptopénztárca-böngészőbővítményekből is lop adatokat, amelyek a lopó binárisban vannak kódolva.
A Rhadamanthys által megcélzott egyéb alkalmazások a következők: FTP kliensek, e-mail kliensek, fájlkezelők, jelszókezelők, VPN szolgáltatások és üzenetküldő alkalmazások. A tolvaj képernyőképeket is készít az áldozat gépéről. A kártevő végül az összes ellopott adatot elküldi a támadók parancs- és vezérlőszerverére (C2) – közölték a kutatók.
Veszélyek az Enterprise számára
A világjárvány óta a vállalati munkaerő földrajzilag összességében szétszórtabb, pózolóbb lett egyedi biztonsági kihívások. A távoli dolgozók együttműködését megkönnyítő szoftvereszközök – például a Zoom és az AnyDesk – nemcsak a felhasználók számára váltak népszerű célpontokká. alkalmazás-specifikus fenyegetések, hanem olyan támadók social engineering kampányaihoz is, akik szeretnék kihasználni ezeket a kihívásokat.
És bár a legtöbb vállalati dolgozónak már jobban kellene tudnia, az adathalászat továbbra is rendkívül sikeres módja annak, hogy a támadók megvegyék a lábukat egy vállalati hálózatban – mondták a kutatók. Emiatt a Cybel kutatói azt javasolják, hogy minden vállalat használjon biztonsági termékeket az adathalász e-mailek és webhelyek észlelésére a hálózatán. Ezeket a vállalati hálózatokat elérő mobileszközökre is ki kell terjeszteni – közölték.
A kutatók szerint a vállalatoknak fel kell tanítaniuk az alkalmazottaikat a nem megbízható forrásokból származó e-mail mellékletek megnyitásának, valamint az internetről történő kalózszoftverek letöltésének veszélyeiről. Emellett erősíteniük kell az erős jelszavak használatának fontosságát, és ahol csak lehetséges, kényszeríteniük kell a többtényezős hitelesítést.
Végül a Cyble kutatói azt tanácsolták, hogy általános ökölszabályként a vállalatoknak le kell tiltaniuk azokat az URL-eket – például a Torrent/Warez webhelyeket –, amelyek rosszindulatú programok terjesztésére használhatók.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Rólunk
- hozzáférés
- Hozzáférés
- Fiók
- át
- tevékenységek
- tevékenység
- cselekmények
- vályogtégla
- hirdetések
- Minden termék
- és a
- évi
- megjelenik
- alkalmazások
- alkalmazások
- megjelenés
- Hitelesítés
- elérhető
- háttér
- csali
- mert
- válik
- mögött
- hogy
- Jobb
- binance
- Bitcoin
- Blokk
- Blog
- könyvjelzők
- márka
- bátor
- megsértésének
- böngésző
- böngészők
- üzleti
- Kampány
- Kampányok
- fogások
- gondosan
- kihívások
- Ellenőrzések
- króm
- ügyfél részére
- kód
- együttműködik
- Gyűjtő
- kombinált
- számítógép
- Vonatkozik
- folytatódik
- tovább
- vezérelt
- keksz
- Társasági
- teremt
- készítette
- Hitelesítő adatok
- crypto
- kripto pénztárcák
- veszélyeket
- sötét
- Sötét web
- dátum
- Adatok megsértése
- dc
- szállít
- kézbesítés
- telepített
- részletek
- észlelt
- Eszközök
- könyvtárak
- szétszórt
- kijelzők
- domainek
- letöltés
- letöltések
- könnyebb
- él
- oktat
- e-mailek
- alkalmazottak
- Mérnöki
- biztosítása
- Vállalkozás
- Vállalatok
- Környezet
- végső
- végül is
- végrehajtó
- végrehajtás
- kiterjesztések
- hamisítvány
- Jellemzők
- filé
- Fájlok
- pénzügyi
- Firefox
- vezetéknév
- követ
- forma
- talált
- ból ből
- Nyereség
- általános
- adott
- nagyon
- történelem
- azonban
- HTTPS
- emberi
- azonosított
- azonnali
- fontosság
- in
- tartalmaz
- magában foglalja a
- Beleértve
- info
- információ
- kezdetben
- telepítése
- Internet
- részt
- IT
- január
- Ismer
- Ismerve
- Tőkeáttétel
- LINK
- linkek
- gép
- gép
- csinál
- malware
- vezetés
- Menedzserek
- Megbízás
- üzenet
- üzenetküldés
- mód
- microsoft
- Mobil
- mobil eszközök
- modell
- több
- a legtöbb
- többtényezős hitelesítés
- név
- hálózat
- hálózatok
- Új
- Notepad ++
- szám
- tárgy
- ONE
- nyitás
- Opera
- érdekében
- OS
- Más
- Egyéb
- másképp
- átfogó
- járvány
- rész
- Jelszó
- jelszavak
- Teljesít
- adathalászat
- Adathalászat
- Adathalász webhelyek
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- lehetséges
- megakadályozása
- Termékek
- közzétett
- Vásárlás
- Piton
- címzettek
- ajánl
- megerősítése
- maradványok
- távoli
- távoli munkavállalók
- válasz
- kutatók
- azok
- Reagálni
- válasz
- Szabály
- futás
- Mondott
- screenshotok
- Keresés
- biztonság
- elküldés
- érzékeny
- Series of
- súlyos
- Szolgáltatások
- kellene
- Webhely (ek)
- csúszó
- Trükkös
- So
- Közösség
- Szociális tervezés
- szoftver
- néhány
- Valaki
- Források
- spam
- különleges
- terjedése
- nyilatkozat
- nyilatkozatok
- lop
- lopott
- erős
- sikeres
- ilyen
- rendszer
- Vesz
- cél
- célzott
- célok
- Technológia
- A
- azok
- téma
- fenyegetés
- fenyegetés szereplői
- Keresztül
- idő
- nak nek
- szerszám
- szerszámok
- hagyományos
- tipikus
- alatt
- egyedi
- Frissítések
- sürgősség
- URL
- használ
- használó
- Felhasználók
- különféle
- Verizon
- változat
- keresztül
- Áldozat
- Tényleges
- virtuális gép
- VPN
- Pénztárcák
- háló
- weboldal
- honlapok
- ami
- míg
- lesz
- ablakok
- nélkül
- dolgozók
- munkaerő
- zephyrnet
- gyertya