En lömsk nyhet info stjälare glider in på användardatorer via webbplatsomdirigeringar från Google Ads som utger sig som nedladdningswebbplatser för populära program för fjärranställda, som Zoom och AnyDesk.
Hotaktörer bakom den nya skadliga stammen, "Rhadamanthys Stealer" - tillgänglig för köp på Dark Web under en malware-as-a-service-modell - använder två leveransmetoder för att sprida sin nyttolast, forskare från Cyble avslöjades i ett blogginlägg publicerad 12 januari.
Den ena är genom noggrant utformade nätfiskewebbplatser som efterliknar nedladdningssidor inte bara för Zoom utan även AnyDesk, Notepad++ och Bluestacks. Den andra är genom mer typiska nätfiske-e-postmeddelanden som levererar skadlig programvara som en skadlig bilaga, sa forskarna.
Båda leveransmetoderna utgör ett hot mot företaget, eftersom nätfiske i kombination med mänsklig godtrogenhet från intet ont anande företagsarbetare fortsätter att vara ett framgångsrikt sätt för hotaktörer "att få otillåten tillgång till företagsnätverk, vilket har blivit ett allvarligt problem", de sa.
Verkligen, en årlig undersökning av Verizon om dataintrång fann det 2021, cirka 82 % av alla intrång involverade social ingenjörskonst i någon form, där hotaktörer föredrar att nätfiska sina mål via e-post mer än 60 % av tiden.
"Mycket övertygande" bluff
Forskare upptäckte ett antal nätfiskedomäner som hotaktörerna skapade för att sprida Rhadamanthys, av vilka de flesta verkar vara legitima installationslänkar för de olika ovannämnda mjukvarumärkena. Några av de skadliga länkarna de identifierade inkluderar: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com och zoom-meetings-install[.]com.
"Hotaktörerna bakom den här kampanjen ... skapade en mycket övertygande nätfiske-webbsida som imiterade legitima webbplatser för att lura användare att ladda ner skadlig programvara som stjäl, som utför skadliga aktiviteter", skrev de.
Om användarna tar betet, kommer webbplatserna att ladda ner en installationsfil förklädd som en legitim installatör för att ladda ner respektive applikationer, och tyst installera stealern i bakgrunden utan att användaren vet, sa forskarna.
I den mer traditionella e-postaspekten av kampanjen använder angripare spam som utnyttjar det typiska verktyget för social ingenjörskonst för att skildra en brådska att svara på ett meddelande med ett ekonomiskt tema. E-postmeddelandena utger sig för att skicka kontoutdrag till mottagare med ett Statement.pdf bifogat som de rekommenderas att klicka på så att de kan svara med ett "omedelbart svar".
Om någon klickar på bilagan visar den ett meddelande som indikerar att det är en "Adobe Acrobat DC Updater" och innehåller en nedladdningslänk märkt "Ladda ner uppdatering". Den länken, när den väl klickas på, laddar ner en körbar skadlig programvara för stjälaren från URL:en "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" in i offermaskinens nedladdningsmapp, sa forskarna.
När den här filen har körts, distribueras stjälaren för att lyfta känslig data som webbläsarhistorik och olika inloggningsuppgifter för kontot – inklusive specifik teknik för att rikta in kryptoplånboken – från målets dator, sa de.
Rhadamanthys nyttolast
Rhadamanthys fungerar mer eller mindre som en typisk infostjuver; dock har den några unika egenskaper som forskare identifierade när de observerade dess avrättning på ett offers maskin.
Även om dess initiala installationsfiler är i obfuskerad Python-kod, avkodas den eventuella nyttolasten som en skalkod i form av en 32-bitars körbar fil kompilerad med Microsofts visuella C/C++ kompilator, fann forskarna.
Shellkodens första ordning är att skapa ett mutex-objekt som syftar till att säkerställa att endast en kopia av skadlig programvara körs på offrets system vid varje given tidpunkt. Den kontrollerar också om den körs på en virtuell maskin, till synes för att förhindra att stjälaren upptäcks och analyseras i en virtuell miljö, sa forskarna.
"Om skadlig programvara upptäcker att den körs i en kontrollerad miljö kommer den att avbryta exekveringen", skrev de. "Annars kommer den att fortsätta och utföra stjälaraktiviteten som avsett."
Den aktiviteten inkluderar att samla in systeminformation – såsom datornamn, användarnamn, OS-version och andra maskindetaljer – genom att utföra en serie Windows Management Instrumentation-frågor (WMI). Det följs upp av en fråga i katalogerna för de installerade webbläsarna – inklusive Brave, Edge, Chrome, Firefox, Opera Software och andra – på offrets dator för att söka efter och stjäla webbläsarhistorik, bokmärken, cookies, autofyllningar och inloggningsuppgifter.
Stjälaren har också ett specifikt mandat att rikta in sig på olika kryptoplånböcker, med specifika mål som Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap och andra. Det stjäl också data från olika webbläsartillägg för kryptoplånbok, som är hårdkodade i stjälarbinären, sa forskarna.
Andra applikationer som Rhadamanthys riktar sig till är: FTP-klienter, e-postklienter, filhanterare, lösenordshanterare, VPN-tjänster och meddelandeappar. Stjälaren tar också skärmdumpar av offrets maskin. Skadlig programvara skickar så småningom all stulna data till angriparnas kommando-och-kontroll-server (C2), sa forskarna.
Faror för företaget
Sedan pandemin har företagsarbetskraften blivit mer geografiskt spridd och poserar unika säkerhetsutmaningar. Mjukvaruverktyg som gör det lättare för distansarbetare att samarbeta – som Zoom och AnyDesk – har blivit populära mål inte bara för appspecifika hot, men också för sociala ingenjörskampanjer av angripare som vill dra nytta av dessa utmaningar.
Och även om de flesta företagsanställda vid det här laget borde veta bättre, är nätfiske fortfarande ett mycket framgångsrikt sätt för angripare att få fotfäste i ett företagsnätverk, sa forskarna. På grund av detta rekommenderar Cybel-forskare att alla företag använder säkerhetsprodukter för att upptäcka nätfiske-e-postmeddelanden och webbplatser i deras nätverk. Dessa bör också utvidgas till mobila enheter som har åtkomst till företagsnätverk, sa de.
Företag bör utbilda anställda om farorna med att öppna e-postbilagor från opålitliga källor, såväl som att ladda ner piratkopierad programvara från Internet, sa forskarna. De bör också förstärka vikten av att använda starka lösenord och upprätthålla multifaktorautentisering där det är möjligt.
Slutligen rådde Cyble-forskare att som en allmän tumregel bör företag blockera webbadresser – som Torrent/Warez-webbplatser – som kan användas för att sprida skadlig programvara.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- Om oss
- tillgång
- åtkomst
- Konto
- tvärs
- aktiviteter
- aktivitet
- handlingar
- Adobe
- annonser
- Alla
- och
- årsringar
- visas
- tillämpningar
- appar
- aspekt
- Autentisering
- tillgänglig
- bakgrund
- bete
- därför att
- blir
- bakom
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- binance
- Bitcoin
- Blockera
- Blogg
- bokmärken
- varumärken
- trotsa
- överträdelser
- webbläsare
- webbläsare
- företag
- Kampanj
- Kampanjer
- fångar
- försiktigt
- utmaningar
- Kontroller
- krom
- klienter
- koda
- samarbeta
- Samla
- kombinerad
- dator
- Oro
- fortsätta
- fortsätter
- kontrolleras
- Cookiepolicy
- Företag
- skapa
- skapas
- referenser
- crypto
- krypto plånböcker
- faror
- mörkt
- mörk Web
- datum
- Dataöverträdelser
- dc
- leverera
- leverans
- utplacerade
- detaljer
- detekterad
- enheter
- kataloger
- dispergerad
- displayer
- domäner
- ladda ner
- Nedladdningar
- lättare
- kant
- utbilda
- e
- anställda
- Teknik
- säkerställa
- Företag
- företag
- Miljö
- eventuell
- så småningom
- exekvera
- utförande
- förlängningar
- fejka
- Funktioner
- Fil
- Filer
- finansiella
- firefox
- Förnamn
- följt
- formen
- hittade
- från
- Få
- Allmänt
- ges
- höggradigt
- historia
- Men
- HTTPS
- humant
- identifierade
- omedelbar
- vikt
- in
- innefattar
- innefattar
- Inklusive
- info
- informationen
- inledande
- installera
- Internet
- involverade
- IT
- jan
- Vet
- Menande
- Hävstång
- LINK
- länkar
- Maskinen
- Maskiner
- göra
- malware
- ledning
- chefer
- mandat
- meddelande
- meddelandehantering
- metoder
- Microsoft
- Mobil
- Mobil enheter
- modell
- mer
- mest
- multifaktor-autentisering
- namn
- nät
- nätverk
- Nya
- Notepad ++
- antal
- objektet
- ONE
- öppning
- Opera
- beställa
- OS
- Övriga
- Övrigt
- annat
- övergripande
- pandemi
- del
- Lösenord
- lösenord
- Utföra
- phish
- Nätfiske
- Nätfiskewebbplatser
- plato
- Platon Data Intelligence
- PlatonData
- Populära
- möjlig
- förhindra
- Produkter
- publicerade
- inköp
- Python
- mottagare
- rekommenderar
- förstärka
- resterna
- avlägsen
- fjärrarbetare
- svar
- forskare
- att
- Svara
- respons
- Regel
- rinnande
- Nämnda
- skärmdumpar
- Sök
- säkerhet
- skicka
- känslig
- Serier
- allvarlig
- Tjänster
- skall
- Områden
- glidning
- Lömsk
- So
- Social hållbarhet
- Samhällsteknik
- Mjukvara
- några
- någon
- Källor
- skräppost
- specifik
- spridning
- .
- uttalanden
- stjäl
- stulna
- stark
- framgångsrik
- sådana
- system
- Ta
- Målet
- riktade
- mål
- Teknologi
- Smakämnen
- deras
- tema
- hot
- hotaktörer
- Genom
- tid
- till
- verktyg
- verktyg
- traditionell
- typisk
- under
- unika
- Uppdatering
- urgency
- URL
- användning
- Användare
- användare
- olika
- verizon
- version
- via
- Victim
- Virtuell
- virtuell maskin
- VPN
- Plånböcker
- webb
- Webbplats
- webbsidor
- som
- medan
- kommer
- fönster
- utan
- arbetare
- arbetskraft
- zephyrnet
- zoom