En snikende nyhet info stjeler glir inn på brukermaskiner via nettstedviderekoblinger fra Google Ads som fremstår som nedlastingssider for populær programvare for eksternt ansatte, som Zoom og AnyDesk.
Trusselaktører bak den nye malware-stammen, "Rhadamanthys Stealer" - tilgjengelig for kjøp på Dark Web under en malware-as-a-service-modell - bruker to leveringsmetoder for å spre nyttelasten, sier forskere fra Cyble avslørt i et blogginnlegg publisert 12. januar.
Den ene er gjennom nøye utformede phishing-nettsteder som etterligner nedlastingssider, ikke bare for Zoom, men også AnyDesk, Notepad++ og Bluestacks. Den andre er gjennom mer typiske phishing-e-poster som leverer skadelig programvare som et ondsinnet vedlegg, sa forskerne.
Begge leveringsmetodene utgjør en trussel for bedriften, ettersom phishing kombinert med menneskelig godtroenhet fra intetanende bedriftsarbeidere fortsetter å være en vellykket måte for trusselaktører «å få uautorisert tilgang til bedriftsnettverk, som har blitt en alvorlig bekymring», de sa.
Faktisk, en årlig undersøkelse av Verizon om datainnbrudd fant det i 202182 % av alle brudd involverte sosial ingeniørarbeid i en eller annen form, med trusselaktører som foretrakk å phishe målene sine via e-post mer enn 60 % av tiden.
"Svært overbevisende" svindel
Forskere oppdaget en rekke phishing-domener som trusselaktørene skapte for å spre Rhadamanthys, hvorav de fleste ser ut til å være legitime installasjonslinker for de ulike nevnte programvaremerkene. Noen av de skadelige koblingene de identifiserte inkluderer: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com og zoom-meetings-install[.]com.
"Trusselaktørene bak denne kampanjen ... opprettet en svært overbevisende phishing-nettside som utgir seg for å utgi seg for legitime nettsteder for å lure brukere til å laste ned tyveren skadelig programvare, som utfører ondsinnede aktiviteter," skrev de.
Hvis brukerne tar agnet, vil nettstedene laste ned en installasjonsfil forkledd som et legitimt installasjonsprogram for å laste ned de respektive applikasjonene, og stille installering av stjeleren i bakgrunnen uten at brukeren vet det, sa forskerne.
I det mer tradisjonelle e-postaspektet av kampanjen bruker angripere spam som utnytter det typiske verktøyet for sosial ingeniørkunst for å fremstille et presserende behov for å svare på en melding med et økonomisk tema. E-postene gir seg ut for å sende kontoutskrifter til mottakere med en Statement.pdf vedlagt som de anbefales å klikke på slik at de kan svare med et «umiddelbart svar».
Hvis noen klikker på vedlegget, viser det en melding som indikerer at det er en "Adobe Acrobat DC Updater" og inkluderer en nedlastingskobling merket "Last ned oppdatering." Når den lenken, når den er klikket på, laster den ned en kjørbar skadelig programvare for tyveren fra URL-en "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" inn i offermaskinens nedlastingsmappe, sa forskerne.
Når denne filen er utført, blir tyveren utplassert for å løfte sensitive data som nettleserhistorikk og ulike påloggingsopplysninger for kontoen – inkludert spesifikk teknologi for å målrette krypto-lommeboken – fra målets datamaskin, sa de.
Rhadamanthys nyttelast
Rhadamanthys fungerer mer eller mindre som en typisk infotyver; den har imidlertid noen unike egenskaper som forskere identifiserte da de observerte dens henrettelse på et offers maskin.
Selv om de første installasjonsfilene er i obfuskert Python-kode, dekodes den eventuelle nyttelasten som en skallkode i form av en 32-biters kjørbar fil kompilert med Microsofts visuelle C/C++-kompilator, fant forskerne.
Shellcodes første forretningsorden er å lage et mutex-objekt som har som mål å sikre at kun én kopi av skadevaren kjører på offerets system til enhver tid. Den sjekker også for å se om den kjører på en virtuell maskin, tilsynelatende for å forhindre at stjeleren blir oppdaget og analysert i et virtuelt miljø, sa forskerne.
"Hvis skadelig programvare oppdager at den kjører i et kontrollert miljø, vil den avslutte kjøringen," skrev de. "Ellers vil den fortsette og utføre tyveriaktiviteten som tiltenkt."
Denne aktiviteten inkluderer innsamling av systeminformasjon – for eksempel datamaskinnavn, brukernavn, OS-versjon og andre maskindetaljer – ved å utføre en serie Windows Management Instrumentation-spørringer (WMI). Det følges opp av en spørring i katalogene til de installerte nettleserne – inkludert Brave, Edge, Chrome, Firefox, Opera Software og andre – på offerets maskin for å søke etter og stjele nettleserhistorikk, bokmerker, informasjonskapsler, autofyll og påloggingsinformasjon.
Styveren har også et spesifikt mandat til å målrette mot ulike krypto-lommebøker, med spesifikke mål som Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap og andre. Den stjeler også data fra ulike nettleserutvidelser for krypto-lommebok, som er hardkodet i binæren for stjeler, sa forskerne.
Andre applikasjoner som Rhadamanthys målretter mot er: FTP-klienter, e-postklienter, filbehandlere, passordbehandlere, VPN-tjenester og meldingsapper. Tyveren tar også skjermbilder av offerets maskin. Skadevaren sender til slutt alle stjålne data til angripernes kommando-og-kontroll-server (C2), sa forskerne.
Farer for bedriften
Siden pandemien har bedriftens arbeidsstyrke blitt mer geografisk spredt, og poserer unike sikkerhetsutfordringer. Programvareverktøy som gjør det enklere for eksterne arbeidere å samarbeide – som Zoom og AnyDesk – har blitt populære mål, ikke bare for appspesifikke trusler, men også for sosiale ingeniørkampanjer av angripere som ønsker å utnytte disse utfordringene.
Og selv om de fleste bedriftsarbeidere nå burde vite bedre, er phishing fortsatt en svært vellykket måte for angripere å få fotfeste i et bedriftsnettverk, sa forskerne. På grunn av dette anbefaler Cybel-forskere at alle bedrifter bruker sikkerhetsprodukter for å oppdage phishing-e-poster og nettsteder på tvers av nettverket. Disse bør også utvides til mobile enheter som har tilgang til bedriftsnettverk, sa de.
Bedrifter bør utdanne ansatte om farene ved å åpne e-postvedlegg fra upålitelige kilder, samt laste ned piratkopiert programvare fra Internett, sa forskerne. De bør også forsterke viktigheten av å bruke sterke passord og håndheve multifaktorautentisering der det er mulig.
Til slutt ga Cyble-forskere beskjed om at som en generell tommelfingerregel bør bedrifter blokkere URL-er – for eksempel Torrent/Warez-nettsteder – som kan brukes til å spre skadelig programvare.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Om oss
- adgang
- Tilgang
- Logg inn
- tvers
- Aktiviteter
- aktivitet
- handlinger
- Adobe
- annonser
- Alle
- og
- årlig
- vises
- søknader
- apps
- aspektet
- Autentisering
- tilgjengelig
- bakgrunn
- agn
- fordi
- bli
- bak
- være
- Bedre
- binance
- Bitcoin
- Blokker
- Blogg
- bokmerker
- merker
- modig
- brudd
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- virksomhet
- Kampanje
- Kampanjer
- fanger
- nøye
- utfordringer
- Sjekker
- Chrome
- klienter
- kode
- samarbeide
- Samle
- kombinert
- datamaskin
- Bekymring
- fortsette
- fortsetter
- kontrolleres
- cookies
- Bedriftens
- skape
- opprettet
- Credentials
- krypto
- krypto lommebøker
- farene
- mørk
- mørk Web
- dato
- Databrudd
- dc
- leverer
- levering
- utplassert
- detaljer
- oppdaget
- Enheter
- kataloger
- fordelt
- skjermer
- domener
- nedlasting
- nedlastinger
- enklere
- Edge
- utdanne
- emalje
- e-post
- ansatte
- Ingeniørarbeid
- sikrer
- Enterprise
- bedrifter
- Miljø
- eventuell
- etter hvert
- utførende
- gjennomføring
- utvidelser
- forfalskning
- Egenskaper
- filet
- Filer
- finansiell
- Firefox
- Først
- fulgt
- skjema
- funnet
- fra
- Gevinst
- general
- gitt
- svært
- historie
- Men
- HTTPS
- menneskelig
- identifisert
- umiddelbar
- betydning
- in
- inkludere
- inkluderer
- Inkludert
- info
- informasjon
- innledende
- installere
- Internet
- involvert
- IT
- jan
- Vet
- Knowing
- Leverage
- LINK
- lenker
- maskin
- maskiner
- gjøre
- malware
- ledelse
- Ledere
- Mandat
- melding
- meldinger
- metoder
- Microsoft
- Mobil
- håndholdte enheter
- modell
- mer
- mest
- multifaktorautentisering
- navn
- nettverk
- nettverk
- Ny
- Notepad + +
- Antall
- objekt
- ONE
- åpning
- Opera
- rekkefølge
- OS
- Annen
- andre
- ellers
- samlet
- pandemi
- del
- Passord
- passord
- Utfør
- phish
- phishing
- Phishing-nettsteder
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- mulig
- forebygge
- Produkter
- publisert
- Kjøp
- Python
- mottakere
- anbefaler
- forsterke
- forblir
- fjernkontroll
- fjernarbeidere
- svar
- forskere
- de
- Svare
- svar
- Regel
- rennende
- Sa
- skjermbilder
- Søk
- sikkerhet
- sending
- sensitive
- Serien
- alvorlig
- Tjenester
- bør
- Nettsteder
- glidende
- Sneaky
- So
- selskap
- Sosialteknikk
- Software
- noen
- Noen
- Kilder
- spam
- spesifikk
- spre
- Uttalelse
- uttalelser
- stjeler
- stjålet
- sterk
- vellykket
- slik
- system
- Ta
- Target
- målrettet
- mål
- Teknologi
- De
- deres
- tema
- trussel
- trusselaktører
- Gjennom
- tid
- til
- verktøy
- verktøy
- tradisjonelle
- typisk
- etter
- unik
- Oppdater
- hastverk
- URL
- bruke
- Bruker
- Brukere
- ulike
- Verizon
- versjon
- av
- Offer
- virtuelle
- virtuell maskin
- VPN
- Lommebøker
- web
- Nettsted
- nettsteder
- hvilken
- mens
- vil
- vinduer
- uten
- arbeidere
- arbeidsstyrke
- zephyrnet
- zoom