Colin Thierry
Publicat în data de: Noiembrie 23, 2022
Microsoft a dezvăluit săptămâna trecută că un grup de amenințări identificat ca DEV-0569 se află în spatele unui nou val de Royal Ransomware și alte programe malware implementate prin linkuri de phishing, site-uri web cu aspect legitim și Google Ads.
Ocolirea soluțiilor de securitate este un aspect în care actorii amenințărilor se confruntă uneori cu provocări. O modalitate prin care pot ocoli aceste soluții este prin a înșela utilizatorii pentru a le lăsa să intre făcând clic pe linkuri rău intenționate sau descarcând software dăunător.
DEV-0569 folosește ambele tehnici împotriva utilizatorilor pe care îi vizează. Grupul de amenințări creează site-uri web de phishing, utilizează formulare de contact pentru organizațiile vizate, găzduiește instalatori pe site-uri de descărcare care par legitime și implementează Google Ads.
„Activitatea DEV-0569 utilizează fișiere binare semnate și furnizează încărcături utile criptate de malware.” a explicat Microsoft în declarația sa de săptămâna trecută. De asemenea, se știe că grupul utilizează în mare măsură tehnicile de evaziune a apărării și a continuat să folosească instrumentul open-source Nsudo pentru a încerca să dezactiveze soluțiile antivirus recent în campanii.
„DEV-0569 se bazează în special pe publicitate malițioasă, linkuri de phishing care indică un descărcator de malware care se prezintă ca instalatori de software sau actualizări încorporate în e-mailuri spam, pagini de forum false și comentarii de blog”, a adăugat gigantul tehnologic.
Unul dintre obiectivele principale ale lui DEV-0569 este de a obține acces la dispozitive din rețelele securizate, ceea ce le-ar permite să implementeze Royal ransomware. Ca urmare, grupul ar putea deveni un broker de acces pentru alți operatori de ransomware prin vânzarea accesului pe care îl au altor hackeri.
În plus, grupul folosește Google Ads pentru a-și extinde acoperirea și pentru a se integra cu traficul de internet legitim.
„Cercetătorii Microsoft au identificat o campanie de malvertising DEV-0569 care folosește Google Ads, care indică sistemul legitim de distribuție a traficului (TDS) Keitaro, care oferă capabilități de personalizare a campaniilor publicitare prin urmărirea traficului publicitar și filtrarea bazată pe utilizator sau dispozitiv”, a spus compania. . „Microsoft a observat că TDS redirecționează utilizatorul către un site de descărcare legitim sau, în anumite condiții, către site-ul de descărcare rău intenționat BATLOADER.”
Această strategie permite astfel actorilor amenințărilor să ocolească intervalele de IP ale soluțiilor de securitate sandbox cunoscute prin trimiterea de programe malware către ținte și IP-uri specifice.
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Detectivi de siguranță
- VPN
- securitatea site-ului
- zephyrnet
