חדש ערמומי גנב מידע גולש למכונות משתמשים באמצעות הפניות לאתרים מ-Google Ads שמתחזות כאתר הורדות עבור תוכנות פופולריות לכוח עבודה מרחוק, כגון Zoom ו-AnyDesk.
חוקרים מ-Cyble, חוקרים מ-Cyble, עומדים מאחורי זן התוכנות הזדוניות החדשות, "Rhadamanthys Stealer" - זמין לרכישה ברשת האפלה תחת מודל תוכנה זדונית כשירות - משתמשים בשתי שיטות מסירה. נחשף בפוסט בבלוג פורסם ב -12 בינואר.
האחת היא באמצעות אתרי פישינג מעוצבים בקפידה שמתחזות לאתרי הורדה לא רק עבור Zoom אלא גם AnyDesk, Notepad++ ו-Bluestacks. השני הוא באמצעות דוא"ל פישינג טיפוסי יותר שמספק את התוכנה הזדונית כקובץ מצורף זדוני, אמרו החוקרים.
שתי שיטות המסירה מהוות איום על הארגון, שכן דיוג בשילוב עם פתיונות אנושית מצד עובדי תאגיד תמימים ממשיך להוות דרך מוצלחת עבור גורמי איומים "להשיג גישה לא מורשית לרשתות ארגוניות, שהפכה לדאגה רצינית". אמר.
ואכן, סקר שנתי מאת Verizon על הפרות נתונים גילה את זה בשנת 2021, כ-82% מכל ההפרות כללו הנדסה חברתית בצורה כלשהי, כאשר גורמי איומים העדיפו לדוג את המטרות שלהם בדוא"ל יותר מ-60% מהמקרים.
הונאה "משכנעת ביותר".
חוקרים זיהו מספר תחומי דיוג שגורמי האיום יצרו כדי להפיץ את Rhadamanthys, שרובם נראים כקישורי התקנה לגיטימיים עבור מותגי התוכנה השונים שהוזכרו לעיל. חלק מהקישורים הזדוניים שהם זיהו כוללים: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com ו-zoom-meetings-install[.]com.
"שחקני האיום שמאחורי הקמפיין הזה... יצרו דף דיוג משכנע ביותר המתחזה לאתרים לגיטימיים כדי להערים על משתמשים להוריד את התוכנה הזדונית הגנבת, שמבצעת פעילויות זדוניות", כתבו.
אם המשתמשים יקחו את הפיתיון, האתרים יורידו קובץ התקנה במסווה של מתקין לגיטימי כדי להוריד את האפליקציות המתאימות, ויתקינו בשקט את הגנב ברקע מבלי שהמשתמש יידע, אמרו החוקרים.
בהיבט הדוא"ל המסורתי יותר של הקמפיין, תוקפים משתמשים בספאם הממנפים את הכלי ההנדסי החברתי הטיפוסי של הצגת דחיפות להגיב להודעה עם נושא פיננסי. המיילים מתיימרים לשלוח דפי חשבון לנמענים בצירוף Statement.pdf שמומלץ ללחוץ עליו כדי שיוכלו להשיב ב"תשובה מיידית".
אם מישהו לוחץ על הקובץ המצורף, הוא מציג הודעה המציינת שזהו "Adobe Acrobat DC Updater" וכולל קישור הורדה שכותרתו "הורד עדכון". הקישור הזה, לאחר לחיצה עליו, מוריד קובץ הפעלה תוכנה זדונית עבור הגנב מכתובת האתר "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" לתוך תיקיית ההורדות של מכונת הקורבן, אמרו החוקרים.
לאחר ביצוע הקובץ הזה, הגנב נפרס כדי להרים נתונים רגישים כמו היסטוריית הדפדפן ואישורי כניסה שונים לחשבון - כולל טכנולוגיה ספציפית למיקוד ארנק קריפטו - מהמחשב של היעד, אמרו.
מטען רדאמנתיס
Rhadamanthys מתנהג פחות או יותר כמו א גנב מידע טיפוסי; עם זאת, יש לו כמה תכונות ייחודיות שחוקרים זיהו כשהם צפו בביצועו במכונה של קורבן.
למרות שקובצי ההתקנה הראשוניים שלו הם בקוד Python מעורפל, המטען הסופי מפוענח כקוד מעטפת בצורה של קובץ הפעלה של 32 סיביות הידור עם מהדר Microsoft Visual C/C++, מצאו החוקרים.
הצו הראשון של ה-Shellcode הוא יצירת אובייקט mutex שמטרתו להבטיח שרק עותק אחד של התוכנה הזדונית פועל על המערכת של הקורבן בכל זמן נתון. הוא גם בודק אם הוא פועל על מכונה וירטואלית, לכאורה כדי למנוע מהגונב להתגלות ולנתח בסביבה וירטואלית, אמרו החוקרים.
"אם התוכנה הזדונית תזהה שהיא פועלת בסביבה מבוקרת, היא תפסיק את הביצוע שלה", כתבו. "אחרת, הוא ימשיך ויבצע את פעילות הגניבה כמתוכנן."
פעילות זו כוללת איסוף מידע מערכת - כגון שם מחשב, שם משתמש, גרסת מערכת הפעלה ופרטי מחשב אחרים - על ידי ביצוע סדרה של שאילתות Windows Management Instrumentation (WMI). לאחר מכן, שאילתה של הספריות של הדפדפנים המותקנים - כולל Brave, Edge, Chrome, Firefox, Opera Software ואחרים - במחשב של הקורבן כדי לחפש ולגנוב היסטוריית דפדפן, סימניות, קובצי Cookie, מילוי אוטומטי ו אישורי כניסה.
לגנב יש גם מנדט ספציפי לטרגט ארנקי קריפטו שונים, עם מטרות ספציפיות כמו Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap ואחרים. הוא גם גונב נתונים מהרחבות שונות של דפדפן ארנק קריפטו, המקודדים בקידוד הבינארי של הגנב, אמרו החוקרים.
יישומים נוספים שממוקדים על ידי Rhadamanthys הם: לקוחות FTP, לקוחות דואר אלקטרוני, מנהלי קבצים, מנהלי סיסמאות, שירותי VPN ואפליקציות הודעות. הגנב גם מצלם צילומי מסך של המכונה של הקורבן. התוכנה הזדונית שולחת בסופו של דבר את כל הנתונים הגנובים לשרת הפיקוד והשליטה (C2) של התוקפים, אמרו החוקרים.
סכנות למפעל
מאז המגיפה, כוח העבודה התאגיד הפך באופן כללי יותר מפוזר גיאוגרפית, מתחזה אתגרי אבטחה ייחודיים. כלי תוכנה שמקלים על עובדים מרוחקים לשתף פעולה - כמו Zoom ו-AnyDesk - הפכו למטרות פופולריות לא רק עבור איומים ספציפיים לאפליקציה, אלא גם לקמפיינים של הנדסה חברתית של תוקפים שרוצים לנצל את האתגרים הללו.
ובעוד שרוב עובדי החברה אמורים לדעת טוב יותר, דיוג נותר דרך מוצלחת ביותר לתוקפים להשיג דריסת רגל ברשת ארגונית, אמרו החוקרים. בשל כך, חוקרי Cybel ממליצים לכל הארגונים להשתמש במוצרי אבטחה כדי לזהות מיילים ואתרי אינטרנט של פישינג ברחבי הרשת שלהם. יש להרחיב את אלה גם למכשירים ניידים הנגישים לרשתות ארגוניות, אמרו.
ארגונים צריכים לחנך את העובדים על הסכנות שבפתיחת קבצים מצורפים לאימייל ממקורות לא מהימנים, כמו גם הורדת תוכנות פיראטיות מהאינטרנט, אמרו החוקרים. הם צריכים גם לחזק את החשיבות של שימוש בסיסמאות חזקות ולאכוף אימות רב-גורמי בכל מקום אפשרי.
לבסוף, חוקרי Cyble יעצו שככלל אצבע, ארגונים צריכים לחסום כתובות URL - כגון אתרי Torrent/Warez - שניתן להשתמש בהן כדי להפיץ תוכנות זדוניות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- אודות
- גישה
- גישה
- חֶשְׁבּוֹן
- לרוחב
- פעילויות
- פעילות
- מעשים
- Adobe
- מודעות
- תעשיות
- ו
- שנתי
- לְהוֹפִיעַ
- יישומים
- אפליקציות
- אספקט
- אימות
- זמין
- רקע
- פְּתָיוֹן
- כי
- להיות
- מאחור
- להיות
- מוטב
- binance
- ביטקוין
- לחסום
- בלוג
- סימניות
- מותגים
- אמיץ
- פרות
- דפדפן
- דפדפנים
- עסקים
- מבצע
- קמפיינים
- לוכדת
- בזהירות
- האתגרים
- בדיקות
- Chrome
- לקוחות
- קוד
- לשתף פעולה
- איסוף
- משולב
- המחשב
- דְאָגָה
- להמשיך
- ממשיך
- נשלט
- עוגיות
- משותף
- לִיצוֹר
- נוצר
- אישורים
- קריפטו
- ארנקים
- סכנות
- כהה
- אינטרנט אפל
- נתונים
- הפרת נתונים
- dc
- למסור
- מסירה
- פרס
- פרטים
- זוהה
- התקנים
- ספריות
- מפוזרים
- מציג
- תחומים
- להורדה
- הורדות
- קל יותר
- אדג '
- לחנך
- אמייל
- מיילים
- עובדים
- הנדסה
- הבטחתי
- מִפְעָל
- חברות
- סביבה
- בסופו של דבר
- בסופו של דבר
- מבצע
- הוצאת להורג
- סיומות
- מְזוּיָף
- תכונות
- שלח
- קבצים
- כספי
- Firefox
- ראשון
- בעקבות
- טופס
- מצא
- החל מ-
- לְהַשִׂיג
- כללי
- נתן
- מאוד
- היסטוריה
- אולם
- HTTPS
- בן אנוש
- מזוהה
- מיידי
- חשיבות
- in
- לכלול
- כולל
- כולל
- מידע
- מידע
- בתחילה
- התקנה
- אינטרנט
- מעורב
- IT
- יאן
- לדעת
- יודע
- תנופה
- קשר
- קישורים
- מכונה
- מכונה
- לעשות
- תוכנות זדוניות
- ניהול
- מנהלים
- מנדט
- הודעה
- הודעות
- שיטות
- מיקרוסופט
- סלולרי
- מכשירים ניידים
- מודל
- יותר
- רוב
- אימות רב-פקטורי
- שם
- רשת
- רשתות
- חדש
- Notepad ++
- מספר
- אובייקט
- ONE
- פתיחה
- Opera
- להזמין
- OS
- אחר
- אחרים
- אַחֶרֶת
- מקיף
- מגיפה
- חלק
- סיסמה
- סיסמאות
- לְבַצֵעַ
- phish
- דיוג
- אתרי דיוג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פופולרי
- אפשרי
- למנוע
- מוצרים
- לאור
- לִרְכּוֹשׁ
- פיתון
- נמענים
- להמליץ
- לתגבר
- שְׂרִידִים
- מרחוק
- עובדים מרוחקים
- תשובה
- חוקרים
- אלה
- להגיב
- תגובה
- כלל
- ריצה
- אמר
- צילומי מסך
- חיפוש
- אבטחה
- שליחה
- רגיש
- סדרה
- רציני
- שירותים
- צריך
- אתרים
- החלקה
- מִתגַנֵב
- So
- חֶברָתִי
- הנדסה חברתית
- תוכנה
- כמה
- מישהו
- מקורות
- דואר זבל
- ספציפי
- התפשטות
- הצהרה
- הצהרות
- גונב
- גָנוּב
- חזק
- מוצלח
- כזה
- מערכת
- לקחת
- יעד
- ממוקד
- מטרות
- טכנולוגיה
- השמיים
- שֶׁלָהֶם
- נושא
- איום
- איום שחקנים
- דרך
- זמן
- ל
- כלי
- כלים
- מסורתי
- טיפוסי
- תחת
- ייחודי
- עדכון
- דְחִיפוּת
- כתובת האתר
- להשתמש
- משתמש
- משתמשים
- שונים
- ורייזון
- גרסה
- באמצעות
- קרבן
- וירטואלי
- מכונה וירטואלית
- VPN
- ארנקים
- אינטרנט
- אתר
- אתרים
- אשר
- בזמן
- יצטרך
- חלונות
- לְלֹא
- עובדים
- כוח עבודה
- זפירנט
- זום