Een stiekem nieuwtje info steler glijdt naar gebruikerscomputers via website-omleidingen van Google Ads die zich voordoen als downloadsites voor populaire software voor thuiswerkers, zoals Zoom en AnyDesk.
Bedreigingsactoren achter de nieuwe malwarestam, "Rhadamanthys Stealer" - beschikbaar voor aankoop op het Dark Web onder een malware-as-a-service-model - gebruiken twee leveringsmethoden om hun payload te verspreiden, onderzoekers van Cyble onthuld in een blogpost gepubliceerd op 12 januari.
Een daarvan is via zorgvuldig ontworpen phishing-sites die zich voordoen als downloadsites, niet alleen voor Zoom, maar ook voor AnyDesk, Notepad++ en Bluestacks. De andere is via meer typische phishing-e-mails die de malware als een kwaadaardige bijlage afleveren, aldus de onderzoekers.
Beide leveringsmethoden vormen een bedreiging voor de onderneming, aangezien phishing in combinatie met menselijke goedgelovigheid van nietsvermoedende werknemers in het bedrijf een succesvolle manier blijft voor bedreigingsactoren "om ongeoorloofde toegang te krijgen tot bedrijfsnetwerken, wat een serieus probleem is geworden". gezegd.
Inderdaad, een jaarlijkse enquête door Verizon over datalekken vond dat in 2021, was bij ongeveer 82% van alle inbreuken sprake van social engineering in een of andere vorm, waarbij dreigingsactoren er de voorkeur aan gaven hun doelwitten meer dan 60% van de tijd via e-mail te phishen.
"Zeer overtuigende" zwendel
Onderzoekers hebben een aantal phishing-domeinen ontdekt die de bedreigingsactoren hebben gemaakt om Rhadamanthys te verspreiden, waarvan de meeste legitieme installatielinks lijken te zijn voor de verschillende bovengenoemde softwaremerken. Enkele van de kwaadaardige links die ze hebben geïdentificeerd, zijn: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com en zoom-meetings-install[.]com.
"De dreigingsactoren achter deze campagne ... creëerden een zeer overtuigende phishing-webpagina die zich voordeed als legitieme websites om gebruikers te misleiden om de stealer-malware te downloaden, die kwaadaardige activiteiten uitvoert", schreven ze.
Als gebruikers het aas pakken, zullen de websites een installatiebestand downloaden dat is vermomd als een legitiem installatieprogramma om de respectieve applicaties te downloaden, waarbij de stealer in stilte op de achtergrond wordt geïnstalleerd zonder dat de gebruiker het weet, aldus de onderzoekers.
In het meer traditionele e-mailaspect van de campagne gebruiken aanvallers spam die gebruikmaken van de typische social engineering-tool om een urgentie uit te beelden om te reageren op een bericht met een financieel thema. De e-mails beweren rekeningafschriften naar ontvangers te sturen met een bijgevoegd Statement.pdf waarop ze moeten klikken, zodat ze kunnen antwoorden met een "onmiddellijke reactie".
Als iemand op de bijlage klikt, wordt er een bericht weergegeven dat aangeeft dat het een "Adobe Acrobat DC Updater" is en een downloadlink met het label "Download Update" bevat. Zodra erop wordt geklikt, downloadt die link een uitvoerbaar malwarebestand voor de dief van de URL “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” in de map Downloads van het slachtoffer, aldus de onderzoekers.
Zodra dit bestand is uitgevoerd, wordt de stealer ingezet om gevoelige gegevens zoals browsergeschiedenis en verschillende inloggegevens voor accounts – inclusief specifieke technologie om crypto-wallet te targeten – van de computer van het doelwit te halen, zeiden ze.
De Rhadamanthys-lading
Rhadamanthys gedraagt zich min of meer als een typische infodief; het heeft echter enkele unieke kenmerken die onderzoekers identificeerden toen ze de uitvoering ervan op de machine van een slachtoffer observeerden.
Hoewel de eerste installatiebestanden in versluierde Python-code staan, wordt de uiteindelijke payload gedecodeerd als een shellcode in de vorm van een 32-bits uitvoerbaar bestand gecompileerd met Microsoft Visual C/C++-compiler, vonden de onderzoekers.
De eerste taak van de shellcode is het maken van een mutex-object om ervoor te zorgen dat er op elk moment slechts één exemplaar van de malware op het systeem van het slachtoffer draait. Het controleert ook of het op een virtuele machine draait, zogenaamd om te voorkomen dat de dief wordt gedetecteerd en geanalyseerd in een virtuele omgeving, aldus de onderzoekers.
"Als de malware detecteert dat het in een gecontroleerde omgeving draait, beëindigt het de uitvoering", schreven ze. "Anders gaat het door en voert het de stealer-activiteit uit zoals bedoeld."
Die activiteit omvat het verzamelen van systeeminformatie, zoals computernaam, gebruikersnaam, OS-versie en andere machinedetails, door een reeks WMI-query's (Windows Management Instrumentation) uit te voeren. Dat wordt gevolgd door een zoekopdracht in de mappen van de geïnstalleerde browsers - waaronder Brave, Edge, Chrome, Firefox, Opera Software en andere - op de computer van het slachtoffer om browsergeschiedenis, bladwijzers, cookies, automatische vullingen en inloggegevens.
De dief heeft ook een specifiek mandaat om zich te richten op verschillende crypto-wallets, met specifieke doelen zoals Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap en anderen. Het steelt ook gegevens van verschillende crypto-wallet-browserextensies, die hard gecodeerd zijn in het stealer-binaire bestand, aldus de onderzoekers.
Andere toepassingen waarop Rhadamanthys zich richt, zijn: FTP-clients, e-mailclients, bestandsbeheerders, wachtwoordbeheerders, VPN-services en berichten-apps. De dief maakt ook screenshots van de machine van het slachtoffer. De malware stuurt uiteindelijk alle gestolen gegevens naar de command-and-control (C2)-server van de aanvallers, aldus de onderzoekers.
Gevaren voor de Enterprise
Sinds de pandemie is het personeelsbestand van het bedrijf over het algemeen meer geografisch verspreid geraakt unieke beveiligingsuitdagingen. Softwaretools die het voor externe medewerkers gemakkelijker maken om samen te werken, zoals Zoom en AnyDesk, zijn populaire doelen geworden, niet alleen voor app-specifieke bedreigingen, maar ook voor social engineering-campagnes van aanvallers die willen profiteren van deze uitdagingen.
En hoewel de meeste werknemers van het bedrijf inmiddels beter zouden moeten weten, blijft phishing een zeer succesvolle manier voor aanvallers om voet aan de grond te krijgen in een bedrijfsnetwerk, aldus de onderzoekers. Daarom raden Cybel-onderzoekers aan dat alle ondernemingen beveiligingsproducten gebruiken om phishing-e-mails en websites in hun netwerk te detecteren. Deze moeten ook worden uitgebreid naar mobiele apparaten die toegang hebben tot bedrijfsnetwerken, zeiden ze.
Bedrijven moeten werknemers informeren over de gevaren van het openen van e-mailbijlagen van niet-vertrouwde bronnen en het downloaden van illegale software van internet, aldus de onderzoekers. Ze moeten ook het belang benadrukken van het gebruik van sterke wachtwoorden en waar mogelijk multifactor-authenticatie afdwingen.
Tot slot adviseerden Cyble-onderzoekers dat bedrijven als algemene vuistregel URL's moeten blokkeren - zoals Torrent-/Warez-sites - die kunnen worden gebruikt om malware te verspreiden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Over
- toegang
- toegang
- Account
- over
- activiteiten
- activiteit
- Handelingen
- adobe
- advertenties
- Alles
- en
- jaar-
- verschijnen
- toepassingen
- apps
- verschijning
- authenticatie
- Beschikbaar
- achtergrond
- aas
- omdat
- worden
- achter
- wezen
- Betere
- binance
- Bitcoin
- Blok
- Blog
- bladwijzers
- merken
- trotseren
- inbreuken
- browser
- browsers
- bedrijfsdeskundigen
- Campagne
- Campagnes
- captures
- voorzichtig
- uitdagingen
- Controles
- Chrome
- klanten
- code
- samenwerken
- Het verzamelen van
- gecombineerde
- computer
- Bezorgdheid
- voortzetten
- blijft
- gecontroleerd
- cookies
- Bedrijfs-
- en je merk te creëren
- aangemaakt
- Geloofsbrieven
- crypto
- crypto-portefeuilles
- gevaren
- Donker
- Dark Web
- gegevens
- Gegevensdoorbraken
- dc
- leveren
- levering
- ingezet
- gegevens
- gedetecteerd
- systemen
- directories
- verspreid
- displays
- domeinen
- Download
- downloads
- gemakkelijker
- rand
- opvoeden
- e-mails
- medewerkers
- Engineering
- zorgen
- Enterprise
- bedrijven
- Milieu
- eventueel
- uiteindelijk
- uitvoeren
- uitvoering
- extensies
- nep
- Voordelen
- Dien in
- Bestanden
- financieel
- Firefox
- Voornaam*
- gevolgd
- formulier
- gevonden
- oppompen van
- Krijgen
- Algemeen
- gegeven
- Kopen Google Reviews
- zeer
- geschiedenis
- Echter
- HTTPS
- menselijk
- geïdentificeerd
- Onmiddellijk
- belang
- in
- omvatten
- omvat
- Inclusief
- info
- informatie
- eerste
- installeren
- Internet
- betrokken zijn
- IT
- jan
- blijven
- Weten
- Hefboomwerking
- LINK
- links
- machine
- Machines
- maken
- malware
- management
- Managers
- mandaat
- Bericht
- messaging
- methoden
- Microsoft
- Mobile
- mobiele toestellen
- model
- meer
- meest
- multifactor authenticatie
- naam
- netwerk
- netwerken
- New
- notepad ++
- aantal
- object
- EEN
- opening
- Opera
- bestellen
- OS
- Overige
- Overig
- anders-
- totaal
- pandemisch
- deel
- Wachtwoord
- wachtwoorden
- Uitvoeren
- phish
- Phishing
- Phishing-sites
- Plato
- Plato gegevensintelligentie
- PlatoData
- Populair
- mogelijk
- voorkomen
- Producten
- gepubliceerde
- inkomsten
- Python
- ontvangers
- adviseren
- versterken
- stoffelijk overschot
- vanop
- externe werknemers
- antwoord
- onderzoekers
- degenen
- Reageren
- antwoord
- Regel
- lopend
- Zei
- screenshots
- Ontdek
- veiligheid
- verzending
- gevoelig
- -Series
- ernstig
- Diensten
- moet
- Locaties
- glijdend
- Gluiperig
- So
- Social
- Social engineering
- Software
- sommige
- Iemand
- bronnen
- spam
- specifiek
- verspreiden
- Statement
- verklaringen
- steals
- gestolen
- sterke
- geslaagd
- dergelijk
- system
- Nemen
- doelwit
- doelgerichte
- doelen
- Technologie
- De
- hun
- thema
- bedreiging
- bedreigingsactoren
- Door
- niet de tijd of
- naar
- tools
- tools
- traditioneel
- typisch
- voor
- unieke
- bijwerken
- urgentie
- URL
- .
- Gebruiker
- gebruikers
- divers
- Verizon
- versie
- via
- Slachtoffer
- Virtueel
- virtuele machine
- VPN
- Portemonnees
- web
- Website
- websites
- welke
- en
- wil
- ruiten
- zonder
- werknemers
- Workforce
- zephyrnet
- zoom