Baru yang licik pencuri info meluncur ke mesin pengguna melalui pengalihan situs web dari Google Ads yang berpura-pura sebagai situs pengunduhan untuk perangkat lunak tenaga kerja jarak jauh yang populer, seperti Zoom dan AnyDesk.
Pelaku ancaman di balik jenis malware baru, "Rhadamanthys Stealer" โ tersedia untuk dibeli di Dark Web dengan model malware-as-a-service โ menggunakan dua metode pengiriman untuk menyebarkan muatan mereka, peneliti dari Cyble terungkap dalam posting blog diterbitkan 12 Januari.
Salah satunya adalah melalui situs phishing yang dibuat dengan hati-hati yang menyamar sebagai situs unduhan tidak hanya untuk Zoom tetapi juga AnyDesk, Notepad++, dan Bluestacks. Yang lainnya adalah melalui email phishing yang lebih umum yang mengirimkan malware sebagai lampiran berbahaya, kata para peneliti.
Kedua metode pengiriman menimbulkan ancaman bagi perusahaan, karena phishing yang dikombinasikan dengan sifat mudah tertipu manusia di pihak pekerja perusahaan yang tidak menaruh curiga terus menjadi cara yang berhasil bagi pelaku ancaman โuntuk mendapatkan akses tidak sah ke jaringan perusahaan, yang telah menjadi perhatian serius,โ mereka dikatakan.
Memang, sebuah survei tahunan oleh Verizon tentang pelanggaran data menemukan bahwa pada tahun 2021, sekitar 82% dari semua pelanggaran melibatkan rekayasa sosial dalam beberapa bentuk, dengan lebih dari 60% pelaku ancaman lebih memilih untuk melakukan phishing terhadap target mereka melalui email.
Penipuan yang โSangat Meyakinkanโ.
Peneliti mendeteksi sejumlah domain phishing yang dibuat pelaku ancaman untuk menyebarkan Rhadamanthys, yang sebagian besar tampaknya merupakan tautan pemasang yang sah untuk berbagai merek perangkat lunak yang disebutkan di atas. Beberapa tautan berbahaya yang mereka identifikasi meliputi: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com, dan zoom-meetings-install[.]com.
โAktor ancaman di balik kampanye iniโฆ membuat laman web phishing yang sangat meyakinkan yang meniru situs web resmi untuk mengelabui pengguna agar mengunduh malware pencuri, yang melakukan aktivitas berbahaya,โ tulis mereka.
Jika pengguna mengambil umpan, situs web akan mengunduh file penginstal yang menyamar sebagai penginstal yang sah untuk mengunduh aplikasi masing-masing, secara diam-diam menginstal pencuri di latar belakang tanpa sepengetahuan pengguna, kata para peneliti.
Dalam aspek kampanye email yang lebih tradisional, penyerang menggunakan spam yang memanfaatkan alat rekayasa sosial tipikal untuk menggambarkan urgensi untuk menanggapi pesan dengan tema keuangan. Email tersebut dimaksudkan untuk mengirimkan pernyataan akun kepada penerima dengan lampiran Pernyataan.pdf yang disarankan untuk diklik sehingga mereka dapat membalas dengan "tanggapan segera".
Jika seseorang mengklik lampiran, itu akan menampilkan pesan yang menunjukkan bahwa itu adalah "Adobe Acrobat DC Updater" dan menyertakan tautan unduhan berlabel "Unduh Pembaruan." Tautan itu, setelah diklik, mengunduh malware yang dapat dieksekusi untuk pencuri dari URL โhttps[:]\zolotayavitrina[.]com/Jan-statement[.]exeโ ke dalam folder Unduhan mesin korban, kata para peneliti.
Setelah file ini dieksekusi, pencuri dikerahkan untuk mengangkat data sensitif seperti riwayat browser dan berbagai kredensial masuk akun โ termasuk teknologi khusus untuk menargetkan dompet kripto โ dari komputer target, kata mereka.
Muatan Rhadamanthys
Rhadamanthys bertindak kurang lebih seperti a tipikal pencuri info; namun, itu memang memiliki beberapa fitur unik yang diidentifikasi oleh para peneliti saat mereka mengamati eksekusinya pada mesin korban.
Meskipun file instalasi awalnya dalam kode Python yang dikaburkan, muatan akhirnya didekodekan sebagai kode shell dalam bentuk file 32-bit yang dapat dieksekusi yang dikompilasi dengan kompiler Microsoft visual C/C++, para peneliti menemukan.
Urutan pertama bisnis shellcode adalah membuat objek mutex yang bertujuan untuk memastikan bahwa hanya satu salinan malware yang berjalan di sistem korban pada waktu tertentu. Itu juga memeriksa untuk melihat apakah itu berjalan pada mesin virtual, seolah-olah untuk mencegah pencuri terdeteksi dan dianalisis di lingkungan virtual, kata para peneliti.
โJika malware mendeteksi bahwa ia berjalan di lingkungan yang terkendali, ia akan menghentikan eksekusinya,โ tulis mereka. "Jika tidak, itu akan melanjutkan dan melakukan aktivitas pencurian sebagaimana dimaksud."
Aktivitas tersebut mencakup pengumpulan informasi sistem โ seperti nama komputer, nama pengguna, versi OS, dan detail mesin lainnya โ dengan menjalankan serangkaian kueri Windows Management Instrumentation (WMI). Itu diikuti oleh kueri dari direktori browser yang diinstal โ termasuk Brave, Edge, Chrome, Firefox, Opera Software, dan lainnya โ di mesin korban untuk mencari dan mencuri riwayat browser, bookmark, cookie, pengisian otomatis, dan kredensial masuk.
Pencuri juga memiliki mandat khusus untuk menargetkan berbagai dompet crypto, dengan target khusus seperti Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap, dan lainnya. Itu juga mencuri data dari berbagai ekstensi browser crypto-wallet, yang dikodekan dalam biner pencuri, kata para peneliti.
Aplikasi lain yang ditargetkan oleh Rhadamanthys adalah: klien FTP, klien email, pengelola file, pengelola kata sandi, layanan VPN, dan aplikasi perpesanan. Pencuri juga menangkap tangkapan layar dari mesin korban. Malware akhirnya mengirimkan semua data yang dicuri ke server command-and-control (C2) penyerang, kata para peneliti.
Bahaya bagi Perusahaan
Sejak pandemi, tenaga kerja perusahaan secara keseluruhan menjadi lebih tersebar secara geografis, berpose tantangan keamanan yang unik. Alat perangkat lunak yang memudahkan pekerja jarak jauh untuk berkolaborasi โ seperti Zoom dan AnyDesk โ telah menjadi target populer tidak hanya untuk ancaman khusus aplikasi, tetapi juga untuk kampanye rekayasa sosial oleh penyerang yang ingin memanfaatkan tantangan ini.
Dan sementara sebagian besar pekerja perusahaan sekarang harus tahu lebih baik, phishing tetap merupakan cara yang sangat sukses bagi penyerang untuk mendapatkan pijakan di jaringan perusahaan, kata para peneliti. Karena itu, peneliti Cybel merekomendasikan agar semua perusahaan menggunakan produk keamanan untuk mendeteksi email dan situs web phishing di seluruh jaringan mereka. Ini juga harus diperluas ke perangkat seluler yang mengakses jaringan perusahaan, kata mereka.
Perusahaan harus mendidik karyawan tentang bahaya membuka lampiran email dari sumber yang tidak tepercaya, serta mengunduh perangkat lunak bajakan dari Internet, kata para peneliti. Mereka juga harus menekankan pentingnya menggunakan kata sandi yang kuat dan menegakkan autentikasi multifaktor sedapat mungkin.โฏโฏ
Akhirnya, peneliti Cyble menyarankan bahwa sebagai aturan umum, perusahaan harus memblokir URL โ seperti situs Torrent/Warez โ yang dapat digunakan untuk menyebarkan malware.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Tentang Kami
- mengakses
- mengakses
- Akun
- di seluruh
- kegiatan
- kegiatan
- tindakan
- Adobe
- iklan
- Semua
- dan
- tahunan
- muncul
- aplikasi
- aplikasi
- penampilan
- Otentikasi
- tersedia
- latar belakang
- umpan
- karena
- menjadi
- di belakang
- makhluk
- Lebih baik
- binansi
- Bitcoin
- Memblokir
- Blog
- bookmark
- merek
- berani
- pelanggaran
- Browser
- browser
- bisnis
- Kampanye
- Kampanye
- menangkap
- hati-hati
- tantangan
- Cek
- Chrome
- klien
- kode
- Berkolaborasi
- Mengumpulkan
- bergabung
- komputer
- Perhatian
- terus
- terus
- dikendalikan
- kue
- Timeline
- membuat
- dibuat
- Surat kepercayaan
- kripto
- dompet crypto
- bahaya
- gelap
- Web Gelap
- data
- Pelanggaran Data
- dc
- menyampaikan
- pengiriman
- dikerahkan
- rincian
- terdeteksi
- Devices
- direktori
- tersebar
- menampilkan
- domain
- Download
- download
- mudah
- Tepi
- mendidik
- karyawan
- Teknik
- memastikan
- Enterprise
- perusahaan
- Lingkungan Hidup
- akhirnya
- akhirnya
- mengeksekusi
- eksekusi
- ekstensi
- gadungan
- Fitur
- File
- File
- keuangan
- Firefox
- Pertama
- diikuti
- bentuk
- ditemukan
- dari
- Mendapatkan
- Umum
- diberikan
- sangat
- sejarah
- Namun
- HTTPS
- manusia
- diidentifikasi
- Segera
- pentingnya
- in
- memasukkan
- termasuk
- Termasuk
- Info
- informasi
- mulanya
- Instalasi
- Internet
- terlibat
- IT
- jan
- Tahu
- Mengetahui
- Leverage
- LINK
- link
- mesin
- Mesin
- membuat
- malware
- pengelolaan
- Manajer
- Mandat
- pesan
- pesan
- metode
- Microsoft
- mobil
- telepon genggam
- model
- lebih
- paling
- otentikasi multifaktor
- nama
- jaringan
- jaringan
- New
- Notepad ++
- jumlah
- obyek
- ONE
- pembukaan
- Opera
- urutan
- OS
- Lainnya
- Lainnya
- jika tidak
- secara keseluruhan
- pandemi
- bagian
- Kata Sandi
- password
- Melakukan
- phish
- Phishing
- Situs Phishing
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- mungkin
- mencegah
- Produk
- diterbitkan
- membeli
- Ular sanca
- penerima
- sarankan
- memperkuat
- sisa
- terpencil
- pekerja jarak jauh
- balasan
- peneliti
- itu
- Menanggapi
- tanggapan
- Aturan
- berjalan
- Tersebut
- screenshot
- Pencarian
- keamanan
- mengirim
- peka
- Seri
- serius
- Layanan
- harus
- Situs
- geser
- Sneaky
- So
- Sosial
- Rekayasa Sosial
- Perangkat lunak
- beberapa
- Seseorang
- sumber
- Spam
- tertentu
- penyebaran
- Pernyataan
- Laporan
- mencuri
- dicuri
- kuat
- sukses
- seperti itu
- sistem
- Mengambil
- target
- ditargetkan
- target
- Teknologi
- Grafik
- mereka
- tema
- ancaman
- aktor ancaman
- Melalui
- waktu
- untuk
- alat
- alat
- tradisional
- khas
- bawah
- unik
- Memperbarui
- urgensi
- URL
- menggunakan
- Pengguna
- Pengguna
- berbagai
- Verizon
- versi
- melalui
- Korban
- maya
- mesin virtual
- VPN
- Wallet
- jaringan
- Situs Web
- situs web
- yang
- sementara
- akan
- Windows
- tanpa
- pekerja
- Tenaga kerja
- zephyrnet.dll
- zoom