Colin Thierry
Pubblicato il: 23 Novembre 2022
Microsoft ha rivelato la scorsa settimana che un gruppo di minacce identificato come DEV-0569 era dietro una nuova ondata di Royal ransomware e altri malware distribuiti tramite collegamenti di phishing, siti Web dall'aspetto legittimo e Google Ads.
Bypassare le soluzioni di sicurezza è un aspetto in cui a volte gli attori delle minacce devono affrontare sfide. Un modo in cui possono aggirare queste soluzioni è ingannare gli utenti per farli entrare facendo clic su collegamenti dannosi o scaricando software dannoso.
DEV-0569 utilizza entrambe queste tecniche contro gli utenti presi di mira. Il gruppo di minacce crea siti Web di phishing, utilizza moduli di contatto su organizzazioni mirate, ospita programmi di installazione su siti di download che sembrano legittimi e distribuisce Google Ads.
"L'attività DEV-0569 utilizza file binari firmati e fornisce payload di malware crittografati", ha spiegato Microsoft nella sua dichiarazione della scorsa settimana. Il gruppo è anche noto per utilizzare pesantemente tecniche di evasione della difesa e ha continuato a utilizzare lo strumento open source Nsudo per tentare di disabilitare le soluzioni antivirus di recente nelle campagne.
"DEV-0569 si basa in particolare su malvertising, collegamenti di phishing che puntano a un downloader di malware che si spaccia per installatori di software o aggiornamenti incorporati in e-mail di spam, pagine di forum false e commenti di blog", ha aggiunto il gigante della tecnologia.
Uno degli obiettivi principali di DEV-0569 è ottenere l'accesso ai dispositivi all'interno di reti sicure, il che consentirebbe loro di distribuire Royal ransomware. Di conseguenza, il gruppo potrebbe diventare un broker di accesso per altri operatori di ransomware vendendo l'accesso di cui dispongono ad altri hacker.
Inoltre, il gruppo utilizza Google Ads per espandere la propria portata e integrarsi con il traffico Internet legittimo.
"I ricercatori Microsoft hanno identificato una campagna di malvertising DEV-0569 sfruttando Google Ads che punta al legittimo sistema di distribuzione del traffico (TDS) Keitaro, che fornisce funzionalità per personalizzare le campagne pubblicitarie tramite il monitoraggio del traffico pubblicitario e il filtraggio basato su utente o dispositivo", ha affermato la società. . "Microsoft ha osservato che il TDS reindirizza l'utente a un sito di download legittimo o, in determinate condizioni, al sito di download dannoso di BATLOADER".
Questa strategia consente quindi agli attori delle minacce di aggirare gli intervalli IP delle soluzioni sandbox di sicurezza note inviando malware a obiettivi e IP specifici.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Detective della sicurezza
- VPN
- sicurezza del sito Web
- zefiro
