Zahrbtna nova kradljivac informacij drsi na uporabniške stroje prek preusmeritev spletnih mest iz Google Ads, ki predstavljajo mesta za prenos priljubljene programske opreme za oddaljeno delovno silo, kot sta Zoom in AnyDesk.
Akterji groženj, ki stojijo za novo različico zlonamerne programske opreme, "Rhadamanthys Stealer" - ki je na voljo za nakup na temnem spletu po modelu zlonamerne programske opreme kot storitve - uporabljajo dva načina dostave za širjenje svoje tovora, raziskovalci iz Cyble razkrito v objavi v blogu objavljeno 12. januarja.
Ena je preko skrbno oblikovanih spletnih mest z lažnim predstavljanjem, ki lažno predstavljajo spletna mesta za prenos ne samo za Zoom, ampak tudi za AnyDesk, Notepad++ in Bluestacks. Drugi je prek bolj tipičnih lažnih e-poštnih sporočil, ki zlonamerno programsko opremo dostavijo kot zlonamerno prilogo, so povedali raziskovalci.
Oba načina dostave predstavljata grožnjo za podjetje, saj je lažno predstavljanje v kombinaciji s človeško lahkovernostjo s strani nič hudega slutečih delavcev podjetja še vedno uspešen način za akterje groženj, da "pridobijo nepooblaščen dostop do omrežij podjetij, kar je postalo resna skrb," pravijo. rekel.
Prav zares, letno raziskavo s strani Verizona o kršitvah podatkov ugotovil, da je leta 2021, je približno 82 % vseh kršitev vključevalo socialni inženiring v neki obliki, pri čemer akterji groženj raje lažno predstavljajo svoje cilje po e-pošti več kot 60 % časa.
"Zelo prepričljiva" prevara
Raziskovalci so odkrili številne domene lažnega predstavljanja, ki so jih akterji groženj ustvarili za širjenje Rhadamanthys, večina od njih pa je videti kot legitimne povezave za namestitev različnih zgoraj omenjenih blagovnih znamk programske opreme. Nekatere zlonamerne povezave, ki so jih odkrili, vključujejo: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com in zoom-meetings-install[.]com.
"Akterji groženj, ki stojijo za to kampanjo ... so ustvarili zelo prepričljivo lažno spletno stran, ki se predstavlja kot legitimna spletna mesta, da bi uporabnike pretentali v prenos zlonamerne programske opreme, ki izvaja zlonamerne dejavnosti," so zapisali.
Če uporabniki zagrizejo v vabo, bodo spletna mesta prenesla namestitveno datoteko, prikrito kot zakonit namestitveni program za prenos zadevnih aplikacij, pri čemer bodo tiho namestile kradljivca v ozadju, ne da bi uporabnik vedel, pravijo raziskovalci.
V bolj tradicionalnem e-poštnem vidiku kampanje napadalci uporabljajo neželeno pošto, ki izkorišča tipično orodje družbenega inženiringa za prikazovanje nujnosti odgovora na sporočilo s finančno temo. E-poštna sporočila naj bi pošiljala izpiske računa prejemnikom s priloženim Statement.pdf, na katerega se jim svetuje, da kliknejo, da lahko odgovorijo s "takojšnjim odgovorom".
Če nekdo klikne prilogo, se prikaže sporočilo, ki nakazuje, da gre za »Adobe Acrobat DC Updater« in vključuje povezavo za prenos z oznako »Prenos posodobitve«. Ta povezava, ko jo kliknete, z URL-ja prenese izvedljivo zlonamerno programsko opremo za krajca “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” v mapo Prenosi žrtvine naprave, so povedali raziskovalci.
Ko je ta datoteka izvedena, se ukradena naprava uporabi za dvig občutljivih podatkov, kot so zgodovina brskalnika in različne poverilnice za prijavo v račun – vključno s specifično tehnologijo za ciljanje na kripto denarnico – iz računalnika tarče, so povedali.
Tovor Rhadamanthys
Rhadamanthys deluje bolj ali manj kot a tipičen kradljivec informacij; vendar ima nekaj edinstvenih lastnosti, ki so jih raziskovalci ugotovili, ko so opazovali njegovo izvajanje na žrtvinem računalniku.
Čeprav so začetne namestitvene datoteke v zakriti kodi Python, je morebitni koristni tovor dekodiran kot ukazna koda v obliki 32-bitne izvedljive datoteke, prevedene z Microsoftovim prevajalnikom Visual C/C++, so ugotovili raziskovalci.
Prvo opravilo lupinske kode je ustvariti objekt mutex, katerega namen je zagotoviti, da se v sistemu žrtve v danem trenutku izvaja samo ena kopija zlonamerne programske opreme. Preveri tudi, ali deluje na virtualnem računalniku, domnevno zato, da bi preprečil odkrivanje in analizo tatvine v virtualnem okolju, so povedali raziskovalci.
"Če zlonamerna programska oprema zazna, da se izvaja v nadzorovanem okolju, bo prekinila njeno izvajanje," so zapisali. "V nasprotnem primeru se bo nadaljevala in izvajala dejavnost kraje, kot je bilo predvideno."
Ta dejavnost vključuje zbiranje informacij o sistemu – kot so ime računalnika, uporabniško ime, različica OS in druge podrobnosti o stroju – z izvajanjem niza poizvedb Windows Management Instrumentation (WMI). Temu sledi poizvedba po imenikih nameščenih brskalnikov – vključno z Brave, Edge, Chrome, Firefox, Opera Software in drugimi – na žrtvinem računalniku za iskanje in krajo zgodovine brskalnika, zaznamkov, piškotkov, samodejnih izpolnjevanj in poverilnice za prijavo.
Kraj ima tudi posebno pooblastilo za ciljanje na različne kripto denarnice, s posebnimi cilji, kot so Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap in druge. Prav tako krade podatke iz različnih razširitev brskalnika kriptodenarnice, ki so trdo kodirane v binarni datoteki kraje, so povedali raziskovalci.
Druge aplikacije, na katere cilja Rhadamanthys, so: odjemalci FTP, e-poštni odjemalci, upravitelji datotek, upravitelji gesel, storitve VPN in aplikacije za sporočanje. Tatovi posnamejo tudi posnetke zaslona žrtvinega računalnika. Zlonamerna programska oprema sčasoma pošlje vse ukradene podatke napadalčevemu strežniku za ukaze in nadzor (C2), so povedali raziskovalci.
Nevarnosti za podjetje
Od pandemije je delovna sila v podjetjih na splošno postala bolj geografsko razpršena edinstvene varnostne izzive. Programska orodja, ki delavcem na daljavo olajšajo sodelovanje – kot sta Zoom in AnyDesk – so postala priljubljena tarča ne le za grožnje, specifične za aplikacijo, temveč tudi za kampanje socialnega inženiringa s strani napadalcev, ki želijo izkoristiti te izzive.
In medtem ko bi morala večina delavcev v podjetjih do zdaj vedeti bolje, je lažno predstavljanje še vedno zelo uspešen način za napadalce, da pridobijo oporo v omrežju podjetja, so povedali raziskovalci. Zaradi tega raziskovalci Cybel priporočajo, da vsa podjetja uporabljajo varnostne izdelke za odkrivanje lažnih e-poštnih sporočil in spletnih mest v svojem omrežju. Te je treba razširiti tudi na mobilne naprave, ki dostopajo do omrežij podjetij, so dejali.
Podjetja bi morala zaposlene poučiti o nevarnostih odpiranja e-poštnih priponk iz virov, ki jim ni zaupanja vreden, ter o nalaganju piratske programske opreme z interneta, so povedali raziskovalci. Prav tako bi morali poudariti pomen uporabe močnih gesel in uveljaviti večfaktorsko avtentikacijo, kjer koli je to mogoče.
Nazadnje so raziskovalci Cyble svetovali, da bi morala podjetja kot splošno pravilo blokirati URL-je – kot so spletna mesta Torrent/Warez – ki se lahko uporabljajo za širjenje zlonamerne programske opreme.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- O meni
- dostop
- Dostop
- Račun
- čez
- dejavnosti
- dejavnost
- aktov
- Adobe
- oglasi
- vsi
- in
- letno
- zdi
- aplikacije
- aplikacije
- vidik
- Preverjanje pristnosti
- Na voljo
- ozadje
- vaba
- ker
- postanejo
- zadaj
- počutje
- Boljše
- binance
- Bitcoin
- Block
- Blog
- zaznamki
- blagovne znamke
- pogumni
- kršitve
- brskalnik
- brskalniki
- poslovni
- Akcija
- Kampanje
- ujame
- previdno
- izzivi
- Pregledi
- Krom
- stranke
- Koda
- sodelovati
- Zbiranje
- kombinirani
- računalnik
- Skrb
- naprej
- se nadaljuje
- nadzorom
- piškotki
- Corporate
- ustvarjajo
- ustvaril
- Mandatno
- kripto
- kripto denarnice
- nevarnosti
- Temnomodra
- Dark Web
- datum
- Podatkovne kršitve
- dc
- poda
- dostava
- razporejeni
- Podrobnosti
- Zaznali
- naprave
- imeniki
- razpršen
- prikazovalniki
- domen
- prenesi
- prenosov
- lažje
- Edge
- izobraževanje
- E-naslov
- e-pošta
- Zaposleni
- Inženiring
- zagotoviti
- Podjetje
- podjetja
- okolje
- morebitne
- sčasoma
- izvršitve
- izvedba
- razširitve
- ponaredek
- Lastnosti
- file
- datoteke
- finančna
- Firefox
- prva
- sledili
- obrazec
- je pokazala,
- iz
- Gain
- splošno
- dana
- zelo
- zgodovina
- Vendar
- HTTPS
- človeškega
- identificirati
- Takojšen
- Pomembnost
- in
- vključujejo
- vključuje
- Vključno
- info
- Podatki
- začetna
- Namestitev
- Internet
- vključeni
- IT
- John
- Vedite
- Vedeti
- Vzvod
- LINK
- Povezave
- stroj
- Stroji
- Znamka
- zlonamerna programska oprema
- upravljanje
- Vodje
- Mandat
- Sporočilo
- sporočanje
- Metode
- Microsoft
- Mobilni
- mobilne naprave
- Model
- več
- Najbolj
- večfaktorska overitev
- Ime
- mreža
- omrežij
- Novo
- Notepad + +
- Številka
- predmet
- ONE
- o odprtju
- deluje
- Da
- OS
- Ostalo
- drugi
- drugače
- Splošni
- Pandemija
- del
- Geslo
- gesla
- Izvedite
- lažno predstavljanje
- Ribarjenje
- Spletna mesta z lažnim predstavljanjem
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- mogoče
- preprečiti
- Izdelki
- objavljeno
- nakup
- Python
- prejemnikov
- Priporočamo
- okrepi
- ostanki
- daljinsko
- oddaljeni delavci
- odgovori
- raziskovalci
- tisti,
- Odzove
- Odgovor
- Pravilo
- tek
- Je dejal
- galerija
- Iskalnik
- varnost
- pošiljanja
- občutljiva
- Serija
- resno
- Storitve
- shouldnt
- Spletna mesta
- drsna
- Sneaky
- So
- socialna
- Socialni inženiring
- Software
- nekaj
- nekdo
- Viri
- spam
- specifična
- namaz
- Izjava
- Izjave
- ukradejo
- ukradeno
- močna
- uspešno
- taka
- sistem
- Bodite
- ciljna
- ciljno
- Cilji
- Tehnologija
- O
- njihove
- tema
- Grožnja
- akterji groženj
- skozi
- čas
- do
- orodje
- orodja
- tradicionalna
- tipičen
- pod
- edinstven
- Nadgradnja
- nujnost
- URL
- uporaba
- uporabnik
- Uporabniki
- različnih
- Verizon
- različica
- preko
- Žrtva
- Virtual
- virtualni stroj
- VPN
- Denarnice
- web
- Spletna stran
- spletne strani
- ki
- medtem
- bo
- okna
- brez
- delavci
- Delovna sila
- zefirnet
- zoom