Sprytna nowość złodziej informacji przenosi się na komputery użytkowników poprzez przekierowania z Google Ads, które udają witryny pobierania popularnego oprogramowania do pracy zdalnej, takiego jak Zoom i AnyDesk.
Zagrożenia stojące za nowym szczepem złośliwego oprogramowania „Rhadamanthys Stealer” — dostępnym do kupienia w Dark Web w ramach modelu złośliwego oprogramowania jako usługi — używają dwóch metod dostarczania w celu rozprzestrzeniania swojego ładunku, badacze z Cyble ujawniono w poście na blogu opublikowane Jan. 12.
Jednym z nich są starannie przygotowane strony phishingowe, które podszywają się pod strony pobierania nie tylko Zooma, ale także AnyDesk, Notepad++ i Bluestacks. Drugi to bardziej typowe e-maile phishingowe, które dostarczają złośliwe oprogramowanie jako złośliwy załącznik, stwierdzili naukowcy.
Obie metody dostarczania stanowią zagrożenie dla przedsiębiorstwa, ponieważ phishing w połączeniu z ludzką naiwnością ze strony niczego niepodejrzewających pracowników korporacyjnych nadal jest skutecznym sposobem dla cyberprzestępców na „uzyskanie nieautoryzowanego dostępu do sieci korporacyjnych, co stało się poważnym problemem”. powiedział.
W rzeczy samej, coroczna ankieta przez Verizon w sprawie naruszeń danych okazało się, że w 2021 r, około 82% wszystkich naruszeń dotyczyło jakiejś formy inżynierii społecznej, przy czym cyberprzestępcy w ponad 60% przypadków preferowali phishing swoich celów za pośrednictwem wiadomości e-mail.
„Wysoce przekonujące” oszustwo
Badacze wykryli szereg domen phishingowych stworzonych przez cyberprzestępców w celu rozprzestrzeniania Rhadamanthys, z których większość wydaje się być legalnymi linkami instalacyjnymi dla różnych wyżej wymienionych marek oprogramowania. Niektóre ze zidentyfikowanych złośliwych linków obejmują: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com i zoom-meetings-install[.]com.
„Aktorzy zagrożeń stojący za tą kampanią… stworzyli bardzo przekonującą stronę phishingową podszywającą się pod legalne strony internetowe, aby nakłonić użytkowników do pobrania złośliwego oprogramowania kradnącego, które wykonuje złośliwe działania” – napisali.
Jeśli użytkownicy złapią przynętę, strony internetowe pobiorą plik instalatora przebrany za legalny instalator w celu pobrania odpowiednich aplikacji, po cichu instalując złodzieja w tle bez wiedzy użytkownika, twierdzą naukowcy.
W bardziej tradycyjnym aspekcie kampanii e-mailowej napastnicy używają spamu, który wykorzystuje typowe narzędzie socjotechniczne polegające na przedstawianiu pilnej odpowiedzi na wiadomość o tematyce finansowej. Wiadomości e-mail rzekomo wysyłają do odbiorców wyciągi z konta z załączonym plikiem Statement.pdf, który powinni kliknąć, aby mogli odpowiedzieć „natychmiastową odpowiedzią”.
Jeśli ktoś kliknie załącznik, wyświetli się komunikat informujący, że jest to „Adobe Acrobat DC Updater” i zawiera łącze pobierania oznaczone „Pobierz aktualizację”. Kliknięcie tego łącza powoduje pobranie pliku wykonywalnego złośliwego oprogramowania dla złodzieja z adresu URL „https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” do folderu Pobrane na komputerze ofiary, stwierdzili badacze.
Po wykonaniu tego pliku, złodziej jest wdrażany w celu wykradzenia wrażliwych danych, takich jak historia przeglądarki i różne dane logowania do konta – w tym specyficzna technologia do atakowania portfela kryptowalut – z komputera celu, powiedzieli.
Ładunek Rhadamanthys
Rhadamanthys zachowuje się mniej więcej jak a typowy złodziej informacji; ma jednak pewne unikalne cechy, które badacze zidentyfikowali, obserwując jego wykonanie na maszynie ofiary.
Chociaż początkowe pliki instalacyjne znajdują się w zaciemnionym kodzie Pythona, ostateczny ładunek jest dekodowany jako kod powłoki w postaci 32-bitowego pliku wykonywalnego skompilowanego za pomocą kompilatora Microsoft Visual C/C++, stwierdzili naukowcy.
Pierwszym zadaniem kodu powłoki jest utworzenie obiektu mutex, którego celem jest upewnienie się, że w danym momencie w systemie ofiary działa tylko jedna kopia złośliwego oprogramowania. Sprawdza również, czy działa na maszynie wirtualnej, rzekomo po to, aby zapobiec wykryciu i analizie złodzieja w środowisku wirtualnym, twierdzą naukowcy.
„Jeśli złośliwe oprogramowanie wykryje, że działa w kontrolowanym środowisku, zakończy swoje działanie” – napisali. „W przeciwnym razie będzie kontynuować i wykonywać kradzież zgodnie z przeznaczeniem”.
Czynność ta obejmuje zbieranie informacji o systemie — takich jak nazwa komputera, nazwa użytkownika, wersja systemu operacyjnego i inne szczegóły dotyczące komputera — poprzez wykonanie serii zapytań Instrumentacji zarządzania Windows (WMI). Następnie następuje zapytanie do katalogów zainstalowanych przeglądarek — w tym Brave, Edge, Chrome, Firefox, Opera Software i innych — na komputerze ofiary w celu wyszukiwania i kradzieży historii przeglądania, zakładek, plików cookie, autouzupełniania i uwierzytelnienie loginu.
Kradnący ma również określony mandat do atakowania różnych portfeli kryptograficznych, z określonymi celami, takimi jak Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap i inne. Jak twierdzą naukowcy, kradnie również dane z różnych rozszerzeń przeglądarki portfela kryptograficznego, które są zakodowane na stałe w pliku binarnym narzędzia do kradzieży.
Inne aplikacje, na które atakuje Rhadamanthys, to: klienci FTP, klienci poczty e-mail, menedżerowie plików, menedżerowie haseł, usługi VPN i aplikacje do przesyłania wiadomości. Złodziej przechwytuje również zrzuty ekranu maszyny ofiary. Złośliwe oprogramowanie ostatecznie wysyła wszystkie skradzione dane do serwera dowodzenia i kontroli (C2) atakujących, stwierdzili naukowcy.
Zagrożenia dla przedsiębiorstwa
Od czasu pandemii pracownicy korporacji stali się ogólnie bardziej rozproszeni geograficznie i pozowali wyjątkowe wyzwania związane z bezpieczeństwem. Narzędzia programowe ułatwiające współpracę pracownikom zdalnym — takie jak Zoom i AnyDesk — stały się popularnymi celami nie tylko dla nich zagrożenia specyficzne dla aplikacji, ale także do kampanii socjotechnicznych przeprowadzanych przez atakujących, którzy chcą wykorzystać te wyzwania.
I chociaż większość pracowników korporacyjnych powinna już wiedzieć lepiej, phishing pozostaje bardzo skutecznym sposobem atakujących na zdobycie przyczółka w sieci korporacyjnej, stwierdzili naukowcy. Z tego powodu badacze Cybel zalecają, aby wszystkie przedsiębiorstwa korzystały z produktów zabezpieczających do wykrywania wiadomości e-mail i witryn phishingowych w ich sieci. Powiedzieli, że należy je również rozszerzyć na urządzenia mobilne uzyskujące dostęp do sieci korporacyjnych.
Przedsiębiorstwa powinny edukować pracowników na temat niebezpieczeństw związanych z otwieraniem załączników do wiadomości e-mail z niezaufanych źródeł, a także pobieraniem pirackiego oprogramowania z Internetu, stwierdzili naukowcy. Powinny również podkreślać znaczenie używania silnych haseł i egzekwować uwierzytelnianie wieloskładnikowe tam, gdzie to możliwe.
Na koniec badacze z Cyble doradzili, że jako ogólna zasada, przedsiębiorstwa powinny blokować adresy URL — takie jak strony Torrent/Warez — które mogą być wykorzystywane do rozprzestrzeniania złośliwego oprogramowania.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- O nas
- dostęp
- Dostęp
- Konto
- w poprzek
- zajęcia
- działalność
- Dzieje Apostolskie
- Adobe
- Reklamy
- Wszystkie kategorie
- i
- roczny
- zjawić się
- aplikacje
- mobilne i webowe
- aspekt
- Uwierzytelnianie
- dostępny
- tło
- przynęta
- bo
- stają się
- za
- jest
- Ulepsz Swój
- binance
- Bitcoin
- Blokować
- Blog
- bookmarks
- marek
- odważny
- naruszenia
- przeglądarka
- przeglądarki
- biznes
- Kampania
- Kampanie
- przechwytuje
- ostrożnie
- wyzwania
- Wykrywanie urządzeń szpiegujących
- Chrom
- klientów
- kod
- współpracować
- Zbieranie
- połączony
- komputer
- Troska
- kontynuować
- ciągły
- kontrolowanych
- cookies
- Korporacyjny
- Stwórz
- stworzony
- Listy uwierzytelniające
- Crypto
- krypto portfele
- Niebezpieczeństwa
- Ciemny
- Mroczny WWW
- dane
- Naruszenie danych
- dc
- dostarczyć
- dostawa
- wdrażane
- detale
- wykryte
- urządzenia
- katalogi
- rozproszone
- wyświetlacze
- domeny
- pobieranie
- pliki do pobrania
- łatwiej
- krawędź
- kształcić
- e-maile
- pracowników
- Inżynieria
- zapewnienie
- Enterprise
- przedsiębiorstwa
- Środowisko
- Ewentualny
- ostatecznie
- wykonywania
- egzekucja
- rozszerzenia
- imitacja
- Korzyści
- filet
- Akta
- budżetowy
- Firefox
- i terminów, a
- następnie
- Nasz formularz
- znaleziono
- od
- Wzrost
- Ogólne
- dany
- wysoko
- historia
- Jednak
- HTTPS
- człowiek
- zidentyfikowane
- Natychmiastowy
- znaczenie
- in
- zawierać
- obejmuje
- Włącznie z
- Informacje
- Informacja
- początkowy
- Instalacja
- Internet
- zaangażowany
- IT
- Styczeń
- Wiedzieć
- Wiedząc
- Dźwignia
- LINK
- linki
- maszyna
- maszyny
- robić
- malware
- i konserwacjami
- Zarządzający
- Mandat
- wiadomość
- wiadomości
- metody
- Microsoft
- Aplikacje mobilne
- urządzenia mobilne
- model
- jeszcze
- większość
- uwierzytelnianie wieloczynnikowe
- Nazwa
- sieć
- sieci
- Nowości
- Notepad + +
- numer
- przedmiot
- ONE
- otwarcie
- Opera
- zamówienie
- OS
- Inne
- Pozostałe
- Inaczej
- ogólny
- pandemiczny
- część
- Hasło
- hasła
- wykonać
- phish
- phishing
- Witryny wyłudzające informacje
- plato
- Analiza danych Platona
- PlatoDane
- Popularny
- możliwy
- zapobiec
- Produkty
- opublikowany
- zakup
- Python
- odbiorców
- polecić
- wzmacniać
- szczątki
- zdalny
- zdalni pracownicy
- odpowiadać
- Badacze
- osób
- Odpowiadać
- odpowiedź
- Zasada
- bieganie
- Powiedział
- screeny
- Szukaj
- bezpieczeństwo
- wysyłanie
- wrażliwy
- Serie
- poważny
- Usługi
- powinien
- Witryny
- przesuwny
- Podstępny
- So
- Obserwuj Nas
- Inżynieria społeczna
- Tworzenie
- kilka
- Ktoś
- Źródła
- spam
- specyficzny
- rozpiętość
- Zestawienie sprzedaży
- oświadczenia
- kradnie
- skradziony
- silny
- udany
- taki
- system
- Brać
- cel
- ukierunkowane
- cele
- Technologia
- Połączenia
- ich
- motyw
- groźba
- podmioty grożące
- Przez
- czas
- do
- narzędzie
- narzędzia
- tradycyjny
- typowy
- dla
- wyjątkowy
- Aktualizacja
- pilna sprawa
- URL
- posługiwać się
- Użytkownik
- Użytkownicy
- różnorodny
- Verizon
- wersja
- przez
- Ofiara
- Wirtualny
- Maszyna wirtualna
- VPN
- Portfele
- sieć
- Strona internetowa
- strony internetowe
- który
- Podczas
- będzie
- okna
- bez
- pracowników
- Siła robocza
- zefirnet
- zoom