Un nou ascuns furt de informații alunecă pe computerele utilizatorilor prin redirecționări de site-uri web de la Google Ads, care se prezintă drept site-uri de descărcare pentru software-ul popular pentru forța de muncă la distanță, cum ar fi Zoom și AnyDesk.
Actorii amenințărilor din spatele noii tulpini de malware, „Rhadamanthys Stealer” – disponibil pentru cumpărare pe Dark Web sub un model de malware ca serviciu – folosesc două metode de livrare pentru a-și propaga sarcina utilă, cercetătorii de la Cyble dezvăluit într-o postare pe blog publicat pe 12 ianuarie.
Unul este prin intermediul site-urilor de phishing atent concepute care uzurpă identitatea site-urilor de descărcare nu numai pentru Zoom, ci și pentru AnyDesk, Notepad++ și Bluestacks. Celălalt este prin e-mailuri de phishing mai tipice care livrează malware-ul ca atașament rău intenționat, au spus cercetătorii.
Ambele metode de livrare reprezintă o amenințare pentru întreprindere, deoarece phishingul combinat cu credulitatea umană din partea lucrătorilor corporativi nesuspectați continuă să fie o modalitate de succes pentru actorii amenințărilor „de a obține acces neautorizat la rețelele corporative, ceea ce a devenit o preocupare serioasă”, ei. spus.
Într-adevăr, un sondaj anual de Verizon cu privire la încălcări ale datelor a constatat că în 2021, aproximativ 82% din toate încălcările au implicat inginerie socială într-o anumită formă, actorii amenințărilor preferând să-și phishing ținte prin e-mail mai mult de 60% din timp.
Înșelătorie „foarte convingătoare”.
Cercetătorii au detectat o serie de domenii de phishing pe care actorii amenințări le-au creat pentru a răspândi Rhadamanthys, dintre care majoritatea par a fi link-uri legitime de instalare pentru diferitele mărci de software menționate mai sus. Unele dintre legăturile rău intenționate pe care le-au identificat includ: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com și zoom-meetings-install[.]com.
„Actorii amenințărilor din spatele acestei campanii... au creat o pagină web de phishing extrem de convingătoare, uzurpând identitatea site-urilor web legitime pentru a păcăli utilizatorii să descarce malware-ul furor, care desfășoară activități rău intenționate”, au scris ei.
Dacă utilizatorii iau momeala, site-urile web vor descărca un fișier de instalare deghizat în program de instalare legitim pentru a descărca aplicațiile respective, instalând în tăcere stealer-ul în fundal fără ca utilizatorul să știe, au spus cercetătorii.
În aspectul mai tradițional de e-mail al campaniei, atacatorii folosesc spam-ul care folosește instrumentul tipic de inginerie socială de a prezenta o urgență pentru a răspunde la un mesaj cu o temă financiară. E-mailurile pretind să trimită extrase de cont către destinatarii cu un Statement.pdf atașat pe care li se recomandă să facă clic pentru a putea răspunde cu un „răspuns imediat”.
Dacă cineva face clic pe atașament, acesta afișează un mesaj care indică faptul că este un „Adobe Acrobat DC Updater” și include un link de descărcare etichetat „Descărcare actualizare”. Acel link, odată dat clic pe, descarcă un malware executabil pentru hoț de la adresa URL „https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” în dosarul Descărcări al mașinii victime, au spus cercetătorii.
Odată ce acest fișier este executat, hoțul este desfășurat pentru a ridica date sensibile, cum ar fi istoricul browserului și diferite acreditări de conectare la cont - inclusiv tehnologia specifică pentru a viza portofelul cripto, de pe computerul țintei, au spus ei.
Sarcina utilă a lui Rhadamanthys
Rhadamanthys acționează mai mult sau mai puțin ca un un furt de informații tipic; cu toate acestea, are unele caracteristici unice pe care cercetătorii le-au identificat când au observat execuția sa pe mașina unei victime.
Deși fișierele sale inițiale de instalare sunt în cod Python ofuscat, eventuala sarcină utilă este decodificată ca un shellcode sub forma unui fișier executabil pe 32 de biți compilat cu compilatorul Microsoft Visual C/C++, au descoperit cercetătorii.
Prima ordine a shellcode-ului este de a crea un obiect mutex menit să se asigure că o singură copie a malware-ului rulează pe sistemul victimei la un moment dat. De asemenea, verifică dacă rulează pe o mașină virtuală, aparent pentru a preveni detectarea și analizarea furtorului într-un mediu virtual, au spus cercetătorii.
„Dacă malware-ul detectează că rulează într-un mediu controlat, își va înceta execuția”, au scris ei. „În caz contrar, va continua și va efectua activitatea de furt conform intenției.”
Această activitate include colectarea de informații despre sistem - cum ar fi numele computerului, numele de utilizator, versiunea sistemului de operare și alte detalii ale mașinii - prin executarea unei serii de interogări Windows Management Instrumentation (WMI). Aceasta este urmată de o interogare a directoarelor browserelor instalate - inclusiv Brave, Edge, Chrome, Firefox, Opera Software și altele - pe computerul victimei pentru a căuta și a fura istoricul browserului, marcajele, cookie-urile, completările automate și date de conectare.
Furatorul are, de asemenea, un mandat specific de a viza diverse portofele cripto, cu ținte specifice precum Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap și altele. De asemenea, fură date din diferite extensii de browser cripto-portofel, care sunt codificate în codul binar de furt, au spus cercetătorii.
Alte aplicații vizate de Rhadamanthys sunt: clienți FTP, clienți de e-mail, manageri de fișiere, manageri de parole, servicii VPN și aplicații de mesagerie. Furătorul face și capturi de ecran ale mașinii victimei. Malware-ul trimite în cele din urmă toate datele furate către serverul de comandă și control (C2) al atacatorilor, au spus cercetătorii.
Pericole pentru Enterprise
De la pandemie, forța de muncă corporativă a devenit în general mai dispersată geografic, pozând provocări unice de securitate. Instrumentele software care facilitează colaborarea lucrătorilor de la distanță, cum ar fi Zoom și AnyDesk, au devenit ținte populare nu numai pentru amenințări specifice aplicației, dar și pentru campaniile de inginerie socială ale atacatorilor care doresc să valorifice aceste provocări.
Și, în timp ce majoritatea lucrătorilor din corporații ar trebui să știe mai bine, phishing-ul rămâne o modalitate de mare succes pentru atacatori de a obține un loc într-o rețea de întreprindere, au spus cercetătorii. Din acest motiv, cercetătorii Cybel recomandă tuturor companiilor să utilizeze produse de securitate pentru a detecta e-mailurile și site-urile web de phishing în rețeaua lor. Acestea ar trebui extinse și la dispozitivele mobile care accesează rețelele corporative, au spus ei.
Întreprinderile ar trebui să educe angajații cu privire la pericolele de a deschide atașamente de e-mail din surse nesigure, precum și despre descărcarea de software piratat de pe Internet, au spus cercetătorii. De asemenea, ar trebui să consolideze importanța utilizării parolelor puternice și să impună autentificarea multifactorială ori de câte ori este posibil.
În cele din urmă, cercetătorii Cyble au sfătuit că, ca regulă generală, întreprinderile ar trebui să blocheze adresele URL - cum ar fi site-urile Torrent/Warez - care pot fi folosite pentru a răspândi programe malware.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Despre Noi
- acces
- accesarea
- Cont
- peste
- activităţi de
- activitate
- Acte
- chirpici
- Anunţuri
- TOATE
- și
- anual
- apărea
- aplicatii
- Apps
- aspect
- Autentificare
- disponibil
- fundal
- momeală
- deoarece
- deveni
- în spatele
- fiind
- Mai bine
- binance
- Bitcoin
- Bloca
- Blog
- marcajele
- marci
- curajos
- încălcări
- browser-ul
- browsere
- afaceri
- Campanie
- Campanii
- capturi
- cu grijă
- provocări
- Verificări
- Chrome
- clientii
- cod
- colabora
- Colectare
- combinate
- calculator
- Îngrijorare
- continua
- continuă
- controlată
- fursecuri
- Istoria
- crea
- a creat
- scrisori de acreditare
- cripto
- cripto-portofele
- pericole
- Întuneric
- Web întunecat
- de date
- Încălcări de date
- dc
- livra
- livrare
- dislocate
- detalii
- detectat
- Dispozitive
- directoare
- dispersat
- afișează
- domenii
- Descarca
- download-uri
- mai ușor
- Margine
- educa
- e-mailuri
- de angajați
- Inginerie
- asigurare
- Afacere
- Companii
- Mediu inconjurator
- eventual
- în cele din urmă
- executând
- execuție
- extensii
- fals
- DESCRIERE
- Fișier
- Fişiere
- financiar
- Firefox
- First
- a urmat
- formă
- găsit
- din
- Câştig
- General
- dat
- extrem de
- istorie
- Totuși
- HTTPS
- uman
- identificat
- imediat
- importanță
- in
- include
- include
- Inclusiv
- info
- informații
- inițială
- Instalarea
- Internet
- implicat
- IT
- Jan
- Cunoaște
- Cunoaștere
- Pârghie
- LINK
- Link-uri
- maşină
- Masini
- face
- malware
- administrare
- Manageri
- Mandat
- mesaj
- mesagerie
- Metode
- Microsoft
- Mobil
- dispozitive mobile
- model
- mai mult
- cele mai multe
- autentificare multifactor
- nume
- reţea
- rețele
- Nou
- Notepad + +
- număr
- obiect
- ONE
- de deschidere
- Operă
- comandă
- OS
- Altele
- Altele
- in caz contrar
- global
- pandemie
- parte
- Parolă
- Parolele
- Efectua
- phish
- Phishing
- Site-uri de phishing
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- posibil
- împiedica
- Produse
- publicat
- cumpărare
- Piton
- destinatari
- recomanda
- consolida
- rămășițe
- la distanta
- lucrători la distanță
- răspuns
- cercetători
- respectiv
- Răspunde
- răspuns
- Regula
- funcţionare
- Said
- capturi de ecran
- Caută
- securitate
- trimitere
- sensibil
- serie
- serios
- Servicii
- să
- Centre de cercetare
- alunecare
- Meschin
- So
- Social
- Inginerie sociala
- Software
- unele
- Cineva
- Surse
- spam-
- specific
- răspândire
- Declarație
- Declarații
- fură
- furate
- puternic
- de succes
- astfel de
- sistem
- Lua
- Ţintă
- vizate
- obiective
- Tehnologia
- lor
- temă
- amenințare
- actori amenințători
- Prin
- timp
- la
- instrument
- Unelte
- tradiţional
- tipic
- în
- unic
- Actualizează
- urgenţă
- URL-ul
- utilizare
- Utilizator
- utilizatorii
- diverse
- Verizon
- versiune
- de
- Victimă
- Virtual
- mașină virtuală
- VPN
- Portofele
- web
- website
- site-uri web
- care
- în timp ce
- voi
- ferestre
- fără
- muncitorii
- Forta de munca
- zephyrnet
- zoom