Подлый новый информационный вор проникает на компьютеры пользователей через перенаправления веб-сайтов из Google Ads, которые выдают себя за сайты для загрузки популярного программного обеспечения для удаленной работы, такого как Zoom и AnyDesk.
Субъекты угроз, стоящие за новым штаммом вредоносного ПО «Rhadamanthys Stealer», доступным для покупки в даркнете по модели «вредоносное ПО как услуга», используют два метода доставки для распространения своей полезной нагрузки, считают исследователи из Cyble. раскрыто в сообщении в блоге опубликовано в январе 12.
Один — через тщательно созданные фишинговые сайты, которые выдают себя за сайты загрузки не только для Zoom, но и для AnyDesk, Notepad++ и Bluestacks. По словам исследователей, другой тип — это более типичные фишинговые электронные письма, в которых вредоносное ПО доставляется в виде вредоносного вложения.
Оба метода доставки представляют угрозу для предприятия, поскольку фишинг в сочетании с человеческой доверчивостью со стороны ничего не подозревающих корпоративных сотрудников продолжает оставаться успешным способом для злоумышленников «получить несанкционированный доступ к корпоративным сетям, что стало серьезной проблемой». сказал.
В самом деле, ежегодный опрос Verizon об утечке данных установлено, что в 2021 г., около 82% всех взломов были связаны с социальной инженерией в той или иной форме, при этом злоумышленники предпочитали фишинг своих целей по электронной почте более чем в 60% случаев.
«Очень убедительная» афера
Исследователи обнаружили ряд фишинговых доменов, созданных злоумышленниками для распространения Rhadamanthys, большинство из которых представляют собой законные ссылки на установщики для различных вышеупомянутых брендов программного обеспечения. Вот некоторые из выявленных вредоносных ссылок: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com и zoom-meetings-install[.]com.
«Угрозы, стоящие за этой кампанией… создали очень убедительную фишинговую веб-страницу, выдающую себя за законные веб-сайты, чтобы обманом заставить пользователей загрузить вредоносное ПО для кражи, которое выполняет вредоносные действия», — написали они.
По словам исследователей, если пользователи попадутся на удочку, веб-сайты будут загружать установочный файл, замаскированный под законный установщик, для загрузки соответствующих приложений, тихо устанавливая стилер в фоновом режиме без ведома пользователя.
В более традиционном аспекте кампании по электронной почте злоумышленники используют спам, который использует типичный инструмент социальной инженерии, изображающий срочность ответа на сообщение финансовой тематики. Электронные письма предназначены для отправки выписок по счетам получателям с прикрепленным файлом Statement.pdf, на который им рекомендуется нажать, чтобы они могли ответить «немедленным ответом».
Если кто-то нажимает на вложение, отображается сообщение о том, что это «Adobe Acrobat DC Updater», и ссылка на загрузку с надписью «Загрузить обновление». Эта ссылка после нажатия загружает исполняемый файл вредоносного ПО для стилера с URL-адреса. «https[:]\zolotayavitrina[.]com/Jan-statement[.]exe» в папку «Загрузки» компьютера-жертвы, говорят исследователи.
По их словам, как только этот файл выполняется, похититель развертывается для извлечения конфиденциальных данных, таких как история браузера и различные учетные данные для входа в учетную запись, включая специальную технологию для нацеливания на крипто-кошелек.
Полезная нагрузка Радамантиса
Радамантис действует более или менее как типичный похититель информации; однако у него есть некоторые уникальные особенности, которые исследователи определили, наблюдая за его выполнением на машине жертвы.
Исследователи обнаружили, что хотя его начальные установочные файлы находятся в запутанном коде Python, конечная полезная нагрузка декодируется как шелл-код в виде 32-битного исполняемого файла, скомпилированного с помощью компилятора Microsoft Visual C/C++.
Первым делом шелл-кода является создание объекта мьютекса, предназначенного для обеспечения того, чтобы в любой момент времени в системе жертвы работала только одна копия вредоносного ПО. По словам исследователей, он также проверяет, работает ли он на виртуальной машине, якобы для предотвращения обнаружения и анализа стилера в виртуальной среде.
«Если вредоносное ПО обнаружит, что оно работает в контролируемой среде, оно прекратит свое выполнение», — написали они. «В противном случае он продолжит работу по краже, как и предполагалось».
Эта деятельность включает в себя сбор системной информации, такой как имя компьютера, имя пользователя, версия ОС и другие сведения о машине, путем выполнения серии запросов инструментария управления Windows (WMI). Затем следует запрос каталогов установленных браузеров, включая Brave, Edge, Chrome, Firefox, Opera Software и других, на компьютере жертвы для поиска и кражи истории браузера, закладок, файлов cookie, автозаполнения и т. д. учетные данные для входа.
Похититель также имеет конкретный мандат на различные криптокошельки с конкретными целями, такими как Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap и другие. По словам исследователей, он также крадет данные из различных расширений браузера крипто-кошельков, которые жестко закодированы в двоичном файле стилера.
Другими приложениями, на которые нацелен Rhadamanthys, являются: FTP-клиенты, почтовые клиенты, файловые менеджеры, менеджеры паролей, службы VPN и приложения для обмена сообщениями. Похититель также делает скриншоты машины жертвы. По словам исследователей, вредоносная программа в конечном итоге отправляет все украденные данные на сервер управления и контроля (C2) злоумышленников.
Опасности для предприятия
После пандемии корпоративная рабочая сила в целом стала более географически рассредоточенной, что создает уникальные проблемы безопасности. Программные инструменты, упрощающие совместную работу удаленных сотрудников, такие как Zoom и AnyDesk, стали популярными объектами не только для угрозы для конкретных приложений, но и для кампаний социальной инженерии злоумышленников, которые хотят извлечь выгоду из этих проблем.
И хотя большинство корпоративных работников к настоящему времени должны знать лучше, фишинг остается очень успешным способом для злоумышленников закрепиться в корпоративной сети, говорят исследователи. По этой причине исследователи Cybel рекомендуют всем предприятиям использовать продукты безопасности для обнаружения фишинговых писем и веб-сайтов в своей сети. По их словам, их также следует распространить на мобильные устройства, имеющие доступ к корпоративным сетям.
По словам исследователей, предприятиям следует информировать сотрудников об опасностях открытия вложений электронной почты из ненадежных источников, а также загрузки пиратского программного обеспечения из Интернета. Они также должны подчеркивать важность использования надежных паролей и по возможности применять многофакторную аутентификацию.
Наконец, исследователи Cyble посоветовали предприятиям, как правило, блокировать URL-адреса, такие как сайты Torrent/Warez, которые могут использоваться для распространения вредоносного ПО.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- О нас
- доступ
- доступа
- Учетная запись
- через
- активно
- деятельность
- акты
- саман
- объявления
- Все
- и
- годовой
- появиться
- Приложения
- Программы
- внешний вид
- Аутентификация
- доступен
- фон
- приманка
- , так как:
- становиться
- за
- не являетесь
- Лучшая
- binance
- Bitcoin
- Заблокировать
- Блог
- закладки
- брендов
- Храбрый
- нарушения
- браузер
- браузеры
- бизнес
- Кампания
- Кампании
- перехватывает
- осторожно
- проблемы
- Проверки
- Chrome
- клиентов
- код
- сотрудничать
- Сбор
- сочетании
- компьютер
- Беспокойство
- продолжать
- продолжается
- контроль
- печенье
- Корпоративное
- Создайте
- создали
- Полномочия
- крипто-
- крипто кошельки
- Опасности
- темно
- Dark Web
- данным
- Нарушения данных
- dc
- доставить
- поставка
- развернуть
- подробнее
- обнаруженный
- Устройства
- каталоги
- рассеянный
- дисплеев
- доменов
- скачать
- загрузок
- легче
- Edge
- воспитывать
- Писем
- сотрудников
- Проект и
- обеспечение
- Предприятие
- предприятий
- Окружающая среда
- эвентуальный
- со временем
- проведение
- выполнение
- расширения
- не настоящие
- Особенности
- Файл
- Файлы
- финансовый
- Firefox
- First
- следует
- форма
- найденный
- от
- Gain
- Общие
- данный
- очень
- история
- Однако
- HTTPS
- человек
- идентифицированный
- немедленная
- значение
- in
- включают
- включает в себя
- В том числе
- info
- информация
- начальный
- Установка
- Интернет
- вовлеченный
- IT
- Января
- Знать
- знание
- Кредитное плечо
- LINK
- связи
- машина
- Продукция
- сделать
- вредоносных программ
- управление
- Менеджеры
- Мандат
- сообщение
- обмен сообщениями
- методы
- Microsoft
- Мобильный телефон
- мобильных устройств
- модель
- БОЛЕЕ
- самых
- многофакторная аутентификация
- имя
- сеть
- сетей
- Новые
- Notepad ++
- номер
- объект
- ONE
- открытие
- Opera
- заказ
- OS
- Другое
- Другое
- в противном случае
- общий
- пандемия
- часть
- Пароль
- пароли
- Выполнять
- фишинга
- фишинг
- Фишинговые сайты
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- возможное
- предотвращать
- Продукция
- опубликованный
- покупки
- Питон
- получатели
- рекомендовать
- усиливает
- остатки
- удаленные
- удаленные работники
- Ответить
- исследователи
- те
- Реагируйте
- ответ
- Правило
- Бег
- Сказал
- скриншоты
- Поиск
- безопасность
- отправка
- чувствительный
- Серии
- серьезный
- Услуги
- должен
- Сайтов
- скольжение
- Подлый
- So
- Соцсети
- Социальная инженерия
- Software
- некоторые
- Кто-то
- Источники
- спам
- конкретный
- распространение
- заявление
- отчетность
- перехватов
- украли
- сильный
- успешный
- такие
- система
- взять
- цель
- целевое
- направлена против
- Технологии
- Ассоциация
- их
- тема
- угроза
- актеры угрозы
- Через
- время
- в
- инструментом
- инструменты
- традиционный
- типичный
- под
- созданного
- Обновление ПО
- острая необходимость
- URL
- использование
- Информация о пользователе
- пользователей
- различный
- Verizon
- версия
- с помощью
- Жертва
- Виртуальный
- виртуальная машина
- VPN
- Кошельки
- Web
- Вебсайт
- веб-сайты
- который
- в то время как
- будете
- окна
- без
- рабочие
- Трудовые ресурсы
- зефирнет
- зум