교활한 새로운 정보 도둑 Zoom 및 AnyDesk와 같은 널리 사용되는 원격 근무 소프트웨어의 다운로드 사이트로 가장하는 Google Ads의 웹사이트 리디렉션을 통해 사용자 컴퓨터로 이동합니다.
새로운 악성코드 변종인 "Rhadamanthys Stealer"(서비스형 악성코드 모델에 따라 다크 웹에서 구매할 수 있음)의 공격자는 페이로드를 전파하기 위해 두 가지 전달 방법을 사용하고 있다고 Cyble의 연구원이 밝혔습니다. 블로그 게시물에 공개 12 월 XNUMX 일 발행.
하나는 Zoom뿐만 아니라 AnyDesk, Notepad++ 및 BlueStacks의 다운로드 사이트를 사칭하는 정교하게 제작된 피싱 사이트를 통해서입니다. 다른 하나는 악성 코드를 악성 첨부 파일로 전달하는 보다 일반적인 피싱 이메일을 통해서라고 연구진은 말했습니다.
두 전달 방법 모두 기업에 위협이 됩니다. 의심하지 않는 기업 직원의 인간 속임과 결합된 피싱은 위협 행위자가 "심각한 문제가 된 기업 네트워크에 대한 무단 액세스를 얻는" 성공적인 방법이 되기 때문입니다. 말했다.
과연, 연례 조사 데이터 침해에 대한 Verizon의 정보 2021년에 그걸 발견했어, 모든 위반의 약 82%는 어떤 형태로든 사회 공학과 관련되어 있으며 위협 행위자는 60% 이상 이메일을 통해 대상을 피싱하는 것을 선호합니다.
“매우 설득력 있는” 사기
연구원들은 위협 행위자들이 Rhadamanthys를 확산시키기 위해 만든 다수의 피싱 도메인을 발견했습니다. 이들 중 대부분은 앞서 언급한 다양한 소프트웨어 브랜드에 대한 합법적인 설치 프로그램 링크인 것으로 보입니다. 그들이 식별한 악성 링크 중 일부는 다음과 같습니다. bluestacks-install[.]com, Zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com 및 Zoom-meetings-install[.]com.
“이 캠페인의 배후에 있는 위협 행위자들은 사용자가 악의적인 활동을 수행하는 스틸러 악성 코드를 다운로드하도록 속이기 위해 합법적인 웹사이트를 가장하는 매우 설득력 있는 피싱 웹페이지를 만들었습니다.”라고 그들은 썼습니다.
사용자가 미끼를 물면 해당 웹사이트는 합법적인 설치 프로그램으로 위장한 설치 프로그램 파일을 다운로드해 해당 애플리케이션을 다운로드하고, 사용자가 모르는 사이에 백그라운드에서 자동으로 스틸러를 설치한다고 연구원들은 말했습니다.
캠페인의 보다 전통적인 이메일 측면에서 공격자는 금융 주제가 포함된 메시지에 응답해야 한다는 긴급성을 표현하는 일반적인 사회 공학 도구를 활용하는 스팸을 사용합니다. 이 이메일에는 "즉각적인 응답"으로 회신할 수 있도록 클릭하도록 권장되는 명세서.pdf가 첨부된 수신자에게 계정 명세서를 보내는 것으로 되어 있습니다.
누군가 첨부 파일을 클릭하면 "Adobe Acrobat DC Updater"라는 메시지가 표시되고 "업데이트 다운로드"라는 다운로드 링크가 포함됩니다. 해당 링크를 클릭하면 해당 URL에서 스틸러에 대한 악성 코드 실행 파일이 다운로드됩니다. “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” 연구원들은 피해자 컴퓨터의 다운로드 폴더에 저장했다고 말했습니다.
이 파일이 실행되면, 브라우저 기록, 다양한 계정 로그인 자격 증명(암호화 지갑을 표적으로 삼는 특정 기술 포함)과 같은 민감한 데이터를 대상 컴퓨터에서 빼내기 위해 스틸러가 배포됩니다.
라다만티스 페이로드
Rhadamanthys는 거의 다음과 같이 행동합니다. 전형적인 정보 도둑; 그러나 연구원들이 피해자 컴퓨터에서 실행을 관찰하면서 확인한 몇 가지 독특한 기능이 있습니다.
연구원들은 초기 설치 파일이 난독화된 Python 코드로 되어 있지만 최종 페이로드는 Microsoft Visual C/C++ 컴파일러로 컴파일된 32비트 실행 파일 형태의 쉘코드로 디코딩된다는 사실을 발견했습니다.
쉘코드의 첫 번째 작업 순서는 주어진 시간에 단 하나의 악성 코드 복사본만 피해자의 시스템에서 실행되도록 하는 것을 목표로 하는 뮤텍스 개체를 생성하는 것입니다. 또한 표면적으로는 가상 환경에서 도둑이 탐지되고 분석되는 것을 방지하기 위해 가상 머신에서 실행되고 있는지 확인한다고 연구원들은 말했습니다.
“맬웨어가 통제된 환경에서 실행되고 있음을 감지하면 실행을 종료합니다.”라고 그들은 썼습니다. 그렇지 않으면 계속해서 의도한 대로 스틸러 활동을 수행할 것입니다.”
이러한 활동에는 일련의 WMI(Windows Management Instrumentation) 쿼리를 실행하여 컴퓨터 이름, 사용자 이름, OS 버전 및 기타 컴퓨터 세부 정보와 같은 시스템 정보를 수집하는 것이 포함됩니다. 그 다음에는 피해자의 컴퓨터에 설치된 브라우저(Brave, Edge, Chrome, Firefox, Opera Software 등)의 디렉터리에 대한 쿼리를 통해 브라우저 기록, 북마크, 쿠키, 자동 채우기 등을 검색하고 훔칩니다. 로그인 자격 증명.
또한, 도둑질자는 Armoury, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap 등과 같은 특정 대상을 사용하여 다양한 암호화폐 지갑을 표적으로 삼는 특정 권한을 가지고 있습니다. 연구원들은 또한 스틸러 바이너리에 하드코딩된 다양한 암호화폐 지갑 브라우저 확장 프로그램에서 데이터를 훔친다고 밝혔습니다.
Rhadamanthys가 표적으로 삼는 다른 애플리케이션으로는 FTP 클라이언트, 이메일 클라이언트, 파일 관리자, 비밀번호 관리자, VPN 서비스 및 메시징 앱이 있습니다. 도둑은 피해자 컴퓨터의 스크린샷도 캡처합니다. 연구원들은 악성코드가 결국 훔친 모든 데이터를 공격자의 명령 및 제어(C2) 서버로 보낸다고 밝혔습니다.
기업에 대한 위험
팬데믹 이후 기업 인력은 전반적으로 지리적으로 더욱 분산되어 독특한 보안 문제. Zoom 및 AnyDesk와 같이 원격 작업자의 공동 작업을 더욱 쉽게 해주는 소프트웨어 도구는 다음과 같은 인기 있는 대상이 되었습니다. 앱별 위협, 이러한 문제를 이용하려는 공격자의 사회 공학 캠페인에도 사용됩니다.
대부분의 기업 근로자는 이제 더 잘 알고 있지만, 피싱은 공격자가 기업 네트워크에 침투할 수 있는 매우 성공적인 방법으로 남아 있다고 연구진은 말했습니다. 이 때문에 Cybel 연구원은 모든 기업이 보안 제품을 사용하여 네트워크 전체에서 피싱 이메일과 웹사이트를 탐지할 것을 권장합니다. 이는 또한 기업 네트워크에 액세스하는 모바일 장치로 확장되어야 한다고 그들은 말했습니다.
기업은 신뢰할 수 없는 출처에서 이메일 첨부 파일을 열거나 인터넷에서 불법 소프트웨어를 다운로드하는 위험에 대해 직원을 교육해야 한다고 연구진은 말했습니다. 또한 강력한 비밀번호 사용의 중요성을 강화하고 가능한 경우 다단계 인증을 시행해야 합니다.
마지막으로 Cyble 연구원들은 일반적인 경험 법칙에 따라 기업은 Torrent/Warez 사이트와 같이 맬웨어를 확산시키는 데 사용될 수 있는 URL을 차단해야 한다고 조언했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- 소개
- ACCESS
- 액세스
- 계정
- 가로질러
- 방과 후 액티비티
- 활동
- 행위
- 어도비 벽돌
- 광고
- All
- 와
- 연간
- 표시
- 어플리케이션
- 앱
- 양상
- 인증
- 가능
- 배경
- 미끼
- 때문에
- 가
- 뒤에
- 존재
- 더 나은
- 빈스
- 비트코인
- 블록
- 블로그
- 즐겨 찾기
- 브랜드
- 무릅 쓰다
- 위반
- 브라우저
- 브라우저
- 사업
- 운동
- 캠페인
- 캡처
- 면밀히
- 과제
- 확인하는 것이 좋다.
- 크롬
- 클라이언트
- 암호
- 협력
- 수집
- 결합 된
- 컴퓨터
- 관심
- 계속
- 계속
- 통제
- 쿠키
- Corporate
- 만들
- 만든
- 신임장
- 암호화는
- 암호 지갑
- 위험
- 어두운
- 어두운 웹
- 데이터
- 데이터 유출
- dc
- 배달하다
- 배달
- 배포
- 세부설명
- 탐지 된
- 디바이스
- 디렉토리
- 분산
- 디스플레이
- 도메인
- 다운로드
- 다운로드
- 쉽게
- Edge
- 교육하다
- 이메일
- 이메일
- 직원
- 엔지니어링
- 보장
- Enterprise
- 기업
- 환경
- 최후의
- 있을뿐만 아니라
- 실행
- 실행
- 확장
- 모조품
- 특징
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 금융
- 파이어 폭스
- 먼저,
- 다음에
- 형태
- 발견
- 에
- 이득
- 일반
- 주어진
- 구글
- 고도로
- history
- 그러나
- HTTPS
- 사람의
- 확인
- 즉시
- 중요성
- in
- 포함
- 포함
- 포함
- 정보
- 정보
- 처음에는
- 설치
- 인터넷
- 참여
- IT
- 월
- 알아
- 아는
- 이점
- LINK
- 모래밭
- 기계
- 기계
- 확인
- 악성 코드
- 구축
- 관리자
- 위임
- 메시지
- 메시지
- 방법
- Microsoft
- 모바일
- 모바일 장치
- 모델
- 배우기
- 가장
- 다단계 인증
- name
- 네트워크
- 네트워크
- 신제품
- 메모장 + +
- 번호
- 대상
- ONE
- 열기
- Opera
- 주문
- OS
- 기타
- 기타
- 그렇지 않으면
- 전체
- 세계적 유행병
- 부품
- 비밀번호
- 암호
- 수행
- 피쉬
- 피싱
- 피싱 사이트
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 인기 문서
- 가능한
- 예방
- 제품
- 출판
- 매수
- Python
- 수령인
- 권하다
- 강화
- 유적
- 먼
- 원격 근무자
- 댓글
- 연구원
- 그
- 응답
- 응답
- 통치
- 달리는
- 말했다
- 스크린 샷
- 검색
- 보안
- 전송
- 민감한
- 연속
- 진지한
- 서비스
- 영상을
- 사이트
- 미끄러져 움직이는
- 몰래 하는
- So
- 사회적
- 사회 공학
- 소프트웨어
- 일부
- 어떤 사람
- 지우면 좋을거같음 . SM
- 스팸
- 구체적인
- 전파
- 성명서
- 문
- 훔치다
- 훔친
- 강한
- 성공한
- 이러한
- 체계
- 받아
- 목표
- 대상
- 목표
- Technology
- XNUMXD덴탈의
- 그들의
- 테마
- 위협
- 위협 행위자
- 을 통하여
- 시간
- 에
- 수단
- 검색을
- 전통적인
- 전형적인
- 아래에
- 유일한
- 업데이트
- 긴급
- URL
- 사용
- 사용자
- 사용자
- 여러
- 버라이존
- 버전
- 를 통해
- 희생자
- 온라인
- 가상 머신
- VPN
- 지갑
- 웹
- 웹 사이트
- 웹 사이트
- 어느
- 동안
- 의지
- 창
- 없이
- 근로자
- 인력
- 제퍼 넷
- 줌