Una novità subdola ladro di informazioni sta scivolando sui computer degli utenti tramite reindirizzamenti di siti Web da Google Ads che si presentano come siti di download per il popolare software per la forza lavoro remota, come Zoom e AnyDesk.
Gli attori delle minacce dietro il nuovo ceppo di malware, "Rhadamanthys Stealer" - disponibile per l'acquisto sul Dark Web con un modello di malware-as-a-service - stanno utilizzando due metodi di consegna per propagare il loro payload, ricercatori di Cyble rivelato in un post sul blog pubblicato il 12 gennaio.
Uno è attraverso siti di phishing accuratamente predisposti che impersonano siti di download non solo per Zoom ma anche per AnyDesk, Notepad++ e Bluestacks. L'altro è attraverso e-mail di phishing più tipiche che consegnano il malware come allegato dannoso, hanno detto i ricercatori.
Entrambi i metodi di consegna rappresentano una minaccia per l'azienda, poiché il phishing combinato con la creduloneria umana da parte di ignari lavoratori aziendali continua a essere un modo efficace per gli attori delle minacce "per ottenere l'accesso non autorizzato alle reti aziendali, che è diventata una seria preoccupazione", affermano. disse.
Anzi, un sondaggio annuale da Verizon sulle violazioni dei dati scoperto che nel 2021, circa l'82% di tutte le violazioni ha coinvolto in qualche modo l'ingegneria sociale, con gli attori delle minacce che preferiscono effettuare phishing ai propri obiettivi tramite e-mail più del 60% delle volte.
Truffa "altamente convincente".
I ricercatori hanno rilevato una serie di domini di phishing che gli attori delle minacce hanno creato per diffondere Rhadamanthys, la maggior parte dei quali sembrano essere collegamenti di installazione legittimi per i vari marchi di software sopra menzionati. Alcuni dei collegamenti dannosi che hanno identificato includono: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com e zoom-meetings-install[.]com.
"Gli attori delle minacce dietro questa campagna... hanno creato una pagina Web di phishing altamente convincente che impersona siti Web legittimi per indurre gli utenti a scaricare il malware stealer, che svolge attività dannose", hanno scritto.
Se gli utenti abboccano, i siti Web scaricheranno un file di installazione camuffato da programma di installazione legittimo per scaricare le rispettive applicazioni, installando silenziosamente lo stealer in background all'insaputa dell'utente, hanno affermato i ricercatori.
Nell'aspetto e-mail più tradizionale della campagna, gli aggressori utilizzano lo spam che sfrutta il tipico strumento di ingegneria sociale per rappresentare l'urgenza di rispondere a un messaggio con un tema finanziario. Le e-mail pretendono di inviare estratti conto ai destinatari con un Statement.pdf allegato su cui si consiglia loro di fare clic in modo che possano rispondere con una "risposta immediata".
Se qualcuno fa clic sull'allegato, viene visualizzato un messaggio che indica che si tratta di un "Adobe Acrobat DC Updater" e include un collegamento per il download denominato "Scarica aggiornamento". Quel collegamento, una volta cliccato, scarica un malware eseguibile per il ladro dall'URL "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" nella cartella Download della macchina vittima, hanno detto i ricercatori.
Una volta che questo file è stato eseguito, il ladro viene distribuito per prelevare dati sensibili come la cronologia del browser e varie credenziali di accesso all'account, inclusa una tecnologia specifica per prendere di mira il portafoglio crittografico, dal computer del bersaglio, hanno affermato.
Il carico utile di Rhadamanthys
Rhadamanthys si comporta più o meno come a tipico ladro di informazioni; tuttavia, ha alcune caratteristiche uniche che i ricercatori hanno identificato mentre ne osservavano l'esecuzione sulla macchina di una vittima.
Sebbene i suoi file di installazione iniziali siano in codice Python offuscato, l'eventuale payload viene decodificato come shellcode sotto forma di un file eseguibile a 32 bit compilato con il compilatore Microsoft visual C/C++, hanno scoperto i ricercatori.
Il primo ordine del giorno dello shellcode è creare un oggetto mutex volto a garantire che solo una copia del malware sia in esecuzione sul sistema della vittima in un dato momento. Controlla anche se è in esecuzione su una macchina virtuale, apparentemente per impedire che il ladro venga rilevato e analizzato in un ambiente virtuale, hanno affermato i ricercatori.
"Se il malware rileva che è in esecuzione in un ambiente controllato, interromperà la sua esecuzione", hanno scritto. "Altrimenti, continuerà e svolgerà l'attività di ladro come previsto."
Tale attività include la raccolta di informazioni di sistema, come nome del computer, nome utente, versione del sistema operativo e altri dettagli della macchina, eseguendo una serie di query WMI (Windows Management Instrumentation). Questo è seguito da una query delle directory dei browser installati - inclusi Brave, Edge, Chrome, Firefox, Opera Software e altri - sulla macchina della vittima per cercare e rubare la cronologia del browser, i segnalibri, i cookie, i riempimenti automatici e credenziali di accesso.
Il ladro ha anche un mandato specifico per prendere di mira vari portafogli crittografici, con obiettivi specifici come Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap e altri. Ruba anche dati da varie estensioni del browser cripto-portafoglio, che sono codificate nel binario stealer, hanno detto i ricercatori.
Altre applicazioni prese di mira da Rhadamanthys sono: client FTP, client di posta elettronica, gestori di file, gestori di password, servizi VPN e app di messaggistica. Il ladro cattura anche screenshot della macchina della vittima. Il malware alla fine invia tutti i dati rubati al server di comando e controllo (C2) degli aggressori, hanno affermato i ricercatori.
Pericoli per l'Enterprise
Dopo la pandemia, la forza lavoro aziendale è diventata complessivamente più dispersa geograficamente, fingendosi sfide di sicurezza uniche. Gli strumenti software che facilitano la collaborazione tra i lavoratori remoti, come Zoom e AnyDesk, sono diventati obiettivi popolari non solo per minacce specifiche dell'app, ma anche per campagne di ingegneria sociale da parte di aggressori che vogliono capitalizzare queste sfide.
E mentre la maggior parte dei lavoratori aziendali ormai dovrebbe saperne di più, il phishing rimane un modo di grande successo per gli aggressori di ottenere un punto d'appoggio in una rete aziendale, hanno affermato i ricercatori. Per questo motivo, i ricercatori di Cybel raccomandano a tutte le aziende di utilizzare prodotti di sicurezza per rilevare e-mail e siti Web di phishing attraverso la propria rete. Questi dovrebbero essere estesi anche ai dispositivi mobili che accedono alle reti aziendali, hanno affermato.
Le aziende dovrebbero educare i dipendenti sui pericoli dell'apertura di allegati e-mail da fonti non attendibili, nonché del download di software piratato da Internet, hanno affermato i ricercatori. Dovrebbero inoltre rafforzare l'importanza di utilizzare password complesse e applicare l'autenticazione a più fattori ove possibile.
Infine, i ricercatori di Cyble hanno suggerito che, come regola generale, le aziende dovrebbero bloccare gli URL, come i siti Torrent/Warez, che possono essere utilizzati per diffondere malware.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Chi siamo
- accesso
- Accedendo
- Il mio account
- operanti in
- attività
- attività
- atti
- Adobe
- Ads - Annunci
- Tutti
- ed
- annuale
- apparire
- applicazioni
- applicazioni
- aspetto
- Autenticazione
- disponibile
- sfondo
- esca
- perché
- diventare
- dietro
- essendo
- Meglio
- binance
- Bitcoin
- Bloccare
- Blog
- segnalibri
- marche
- coraggio
- violazioni
- del browser
- browser
- affari
- Campagna
- Responsabile Campagne
- cattura
- attentamente
- sfide
- Controlli
- Chrome
- clienti
- codice
- collaboreranno
- Raccolta
- combinato
- computer
- Problemi della Pelle
- continua
- continua
- controllata
- Cookies
- Aziende
- creare
- creato
- Credenziali
- crypto
- portafogli criptati
- pericoli
- Scuro
- Web Scuro
- dati
- Violazioni dei dati
- dc
- consegnare
- consegna
- schierato
- dettagli
- rilevato
- dispositivi
- directory
- dispersi
- display
- domini
- scaricare
- download
- più facile
- bordo
- educare
- dipendenti
- Ingegneria
- assicurando
- Impresa
- aziende
- Ambiente
- eventuale
- alla fine
- esecuzione
- esecuzione
- estensioni
- falso
- Caratteristiche
- Compila il
- File
- finanziario
- Firefox
- Nome
- seguito
- modulo
- essere trovato
- da
- Guadagno
- Generale
- dato
- vivamente
- storia
- Tuttavia
- HTTPS
- umano
- identificato
- immediato
- importanza
- in
- includere
- inclusi
- Compreso
- info
- informazioni
- inizialmente
- installazione
- Internet
- coinvolto
- IT
- Gen
- Sapere
- Conoscere
- Leva
- LINK
- Collegamento
- macchina
- macchine
- make
- il malware
- gestione
- I gestori
- Mandato
- messaggio
- di messaggistica
- metodi
- Microsoft
- Mobile
- dispositivi mobili
- modello
- Scopri di più
- maggior parte
- autenticazione a più fattori
- Nome
- Rete
- reti
- New
- Notepad + +
- numero
- oggetto
- ONE
- apertura
- Opera
- minimo
- OS
- Altro
- Altri
- altrimenti
- complessivo
- pandemia
- parte
- Password
- Le password
- Eseguire
- phishing
- phishing
- Siti di phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- possibile
- prevenire
- Prodotti
- pubblicato
- Acquista
- Python
- destinatari
- raccomandare
- rafforzare
- resti
- a distanza
- lavoratori remoti
- rispondere
- ricercatori
- quelli
- Rispondere
- risposta
- Regola
- running
- Suddetto
- screenshot
- Cerca
- problemi di
- invio
- delicata
- Serie
- grave
- Servizi
- dovrebbero
- Siti
- scorrevole
- Subdolo
- So
- Social
- Ingegneria sociale
- Software
- alcuni
- Qualcuno
- fonti
- carne in scatola
- specifico
- diffondere
- dichiarazione
- dichiarazioni
- ruba
- rubare
- forte
- di successo
- tale
- sistema
- Fai
- Target
- mirata
- obiettivi
- Tecnologia
- I
- loro
- tema
- minaccia
- attori della minaccia
- Attraverso
- tempo
- a
- strumenti
- tradizionale
- tipico
- per
- unico
- Aggiornanento
- urgenza
- URL
- uso
- Utente
- utenti
- vario
- Verizon
- versione
- via
- Vittima
- virtuale
- macchina virtuale
- VPN
- Portafogli
- sito web
- Sito web
- siti web
- quale
- while
- volere
- finestre
- senza
- lavoratori
- Forza lavoro
- zefiro
- zoom