ใหม่ส่อเสียด นักขโมยข้อมูล กำลังเลื่อนไปยังเครื่องของผู้ใช้ผ่านการเปลี่ยนเส้นทางเว็บไซต์จาก Google Ads ซึ่งทำหน้าที่เป็นไซต์ดาวน์โหลดสำหรับซอฟต์แวร์การทำงานระยะไกลยอดนิยม เช่น Zoom และ AnyDesk
นักคุกคามที่อยู่เบื้องหลังมัลแวร์สายพันธุ์ใหม่ “Rhadamanthys Stealer” — สามารถซื้อได้บน Dark Web ภายใต้รูปแบบบริการแบบมัลแวร์ — กำลังใช้วิธีจัดส่งสองวิธีเพื่อเผยแพร่เพย์โหลด นักวิจัยจาก Cyble เปิดเผยในบล็อกโพสต์ เผยแพร่ 12 ม.ค.
หนึ่งคือผ่านไซต์ฟิชชิ่งที่สร้างขึ้นมาอย่างพิถีพิถัน ซึ่งเลียนแบบไซต์ดาวน์โหลด ไม่เพียงแต่สำหรับ Zoom เท่านั้น แต่ยังรวมถึง AnyDesk, Notepad++ และ Bluestacks ด้วย อีกวิธีหนึ่งคืออีเมลฟิชชิ่งทั่วไปที่ส่งมัลแวร์เป็นไฟล์แนบที่เป็นอันตราย นักวิจัยกล่าว
วิธีการจัดส่งทั้งสองแบบเป็นภัยคุกคามต่อองค์กร เนื่องจากฟิชชิงรวมกับความใจง่ายของมนุษย์โดยพนักงานขององค์กรที่ไม่สงสัยยังคงเป็นวิธีที่ประสบความสำเร็จสำหรับผู้คุกคาม "เพื่อเข้าถึงเครือข่ายองค์กรโดยไม่ได้รับอนุญาต ซึ่งกลายเป็นปัญหาร้ายแรง" พวกเขา พูดว่า.
อันที่จริง การสำรวจประจำปี โดย Verizon เกี่ยวกับการละเมิดข้อมูล พบว่าในปี 2021ประมาณ 82% ของการละเมิดทั้งหมดเกี่ยวข้องกับวิศวกรรมสังคมในบางรูปแบบ โดยผู้คุกคามเลือกที่จะฟิชเป้าหมายผ่านทางอีเมลมากกว่า 60% ของเวลาทั้งหมด
การหลอกลวงที่ “น่าเชื่ออย่างสูง”
นักวิจัยตรวจพบโดเมนฟิชชิ่งจำนวนหนึ่งที่ผู้คุกคามสร้างขึ้นเพื่อแพร่กระจาย Rhadamanthys ซึ่งส่วนใหญ่ดูเหมือนจะเป็นลิงก์ตัวติดตั้งที่ถูกต้องสำหรับแบรนด์ซอฟต์แวร์ต่างๆ ที่กล่าวมาข้างต้น ลิงก์ที่เป็นอันตรายบางส่วนที่พวกเขาระบุ ได้แก่: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com และ zoom-meetings-install[.]com.
“ผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญนี้ … สร้างหน้าเว็บฟิชชิ่งที่น่าเชื่อถือสูงโดยปลอมตัวเป็นเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดมัลแวร์ตัวขโมย ซึ่งดำเนินกิจกรรมที่เป็นอันตราย” พวกเขาเขียน
หากผู้ใช้ตกเป็นเหยื่อ เว็บไซต์จะดาวน์โหลดไฟล์ตัวติดตั้งที่ปลอมตัวเป็นตัวติดตั้งที่ถูกต้องเพื่อดาวน์โหลดแอปพลิเคชันที่เกี่ยวข้อง นักวิจัยกล่าว
ในแง่มุมของอีเมลแบบดั้งเดิมของแคมเปญ ผู้โจมตีใช้สแปมที่ใช้ประโยชน์จากเครื่องมือวิศวกรรมสังคมทั่วไปเพื่อแสดงถึงความเร่งด่วนในการตอบกลับข้อความที่มีธีมทางการเงิน อีเมลดังกล่าวอ้างว่าส่งใบแจ้งยอดบัญชีไปยังผู้รับพร้อมแนบ Statement.pdf ซึ่งแนะนำให้คลิกเพื่อตอบกลับด้วย "การตอบกลับทันที"
หากมีคนคลิกไฟล์แนบ ระบบจะแสดงข้อความที่ระบุว่าเป็น “Adobe Acrobat DC Updater” และมีลิงก์ดาวน์โหลดที่ระบุว่า “ดาวน์โหลดการอัปเดต” เมื่อคลิกลิงก์นั้นแล้ว จะดาวน์โหลดไฟล์ปฏิบัติการมัลแวร์สำหรับผู้ขโมยจาก URL “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” ลงในโฟลเดอร์ Downloads ของเครื่องเหยื่อ นักวิจัยกล่าว
เมื่อไฟล์นี้ถูกเรียกใช้ ตัวขโมยจะถูกปรับใช้เพื่อดึงข้อมูลที่ละเอียดอ่อน เช่น ประวัติเบราว์เซอร์และข้อมูลรับรองการเข้าสู่ระบบบัญชีต่างๆ — รวมถึงเทคโนโลยีเฉพาะเพื่อกำหนดเป้าหมายกระเป๋าเงินคริปโต — จากคอมพิวเตอร์ของเป้าหมาย พวกเขากล่าว
น้ำหนักบรรทุกของ Rhadamanthys
Rhadamanthys ทำหน้าที่เหมือน a นักขโมยข้อมูลทั่วไป; อย่างไรก็ตาม มันมีคุณสมบัติเฉพาะบางอย่างที่นักวิจัยระบุเมื่อพวกเขาสังเกตเห็นการดำเนินการของมันบนเครื่องของเหยื่อ
แม้ว่าไฟล์การติดตั้งเริ่มต้นจะอยู่ในรหัส Python ที่คลุมเครือ แต่เพย์โหลดสุดท้ายจะถูกถอดรหัสเป็นเชลล์โค้ดในรูปแบบของไฟล์เรียกทำงานแบบ 32 บิตที่คอมไพล์ด้วยคอมไพเลอร์ Visual C/C++ ของ Microsoft
ลำดับแรกของธุรกิจของ shellcode คือการสร้างวัตถุ mutex เพื่อให้แน่ใจว่ามีเพียงสำเนาเดียวของมัลแวร์ที่ทำงานบนระบบของเหยื่อในเวลาใดก็ตาม นอกจากนี้ยังตรวจสอบเพื่อดูว่ามันทำงานบนเครื่องเสมือนหรือไม่ ซึ่งดูเหมือนจะป้องกันไม่ให้ผู้ขโมยข้อมูลถูกตรวจจับและวิเคราะห์ในสภาพแวดล้อมเสมือนจริง นักวิจัยกล่าว
“หากมัลแวร์ตรวจพบว่ามันทำงานในสภาพแวดล้อมที่มีการควบคุม มันจะยุติการดำเนินการของมัน” พวกเขาเขียน “มิฉะนั้น มันจะดำเนินกิจกรรมการขโมยต่อไปตามที่ตั้งใจไว้”
กิจกรรมนั้นรวมถึงการรวบรวมข้อมูลระบบ เช่น ชื่อคอมพิวเตอร์ ชื่อผู้ใช้ เวอร์ชันระบบปฏิบัติการ และรายละเอียดเครื่องอื่นๆ โดยการดำเนินการชุดของ Windows Management Instrumentation (WMI) ตามมาด้วยการสอบถามไดเร็กทอรีของเบราว์เซอร์ที่ติดตั้ง — รวมถึง Brave, Edge, Chrome, Firefox, Opera Software และอื่น ๆ — บนเครื่องของเหยื่อเพื่อค้นหาและขโมยประวัติเบราว์เซอร์ บุ๊กมาร์ก คุกกี้ การเติมข้อมูลอัตโนมัติ และ ข้อมูลรับรองการเข้าสู่ระบบ
ผู้ขโมยยังมีคำสั่งเฉพาะในการกำหนดเป้าหมายกระเป๋าสตางค์ crypto ต่างๆ โดยมีเป้าหมายเฉพาะ เช่น Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap และอื่นๆ นอกจากนี้ยังขโมยข้อมูลจากส่วนขยายเบราว์เซอร์ crypto-wallet ต่างๆ ซึ่งฮาร์ดโค้ดในไบนารีของขโมย นักวิจัยกล่าว
แอปพลิเคชั่นอื่น ๆ ที่กำหนดเป้าหมายโดย Rhadamanthys คือ: ไคลเอนต์ FTP, ไคลเอนต์อีเมล, ตัวจัดการไฟล์, ตัวจัดการรหัสผ่าน, บริการ VPN และแอพส่งข้อความ ขโมยยังจับภาพหน้าจอของเครื่องของเหยื่อ ในที่สุดมัลแวร์จะส่งข้อมูลที่ถูกขโมยทั้งหมดไปยังเซิร์ฟเวอร์ command-and-control (C2) ของผู้โจมตี นักวิจัยกล่าว
อันตรายต่อองค์กร
นับตั้งแต่เกิดโรคระบาด พนักงานขององค์กรโดยรวมก็กระจายตัวไปตามพื้นที่ทางภูมิศาสตร์มากขึ้น ความท้าทายด้านความปลอดภัยที่ไม่เหมือนใคร. เครื่องมือซอฟต์แวร์ที่ช่วยให้ผู้ปฏิบัติงานทางไกลสามารถทำงานร่วมกันได้ง่ายขึ้น เช่น Zoom และ AnyDesk ได้กลายเป็นเป้าหมายยอดนิยม ไม่เพียงแต่สำหรับ ภัยคุกคามเฉพาะแอปแต่ยังรวมถึงแคมเปญวิศวกรรมสังคมโดยผู้โจมตีที่ต้องการใช้ประโยชน์จากความท้าทายเหล่านี้
และในขณะที่พนักงานในองค์กรส่วนใหญ่ควรรู้ดีกว่านี้ แต่ฟิชชิงยังคงเป็นวิธีที่ประสบความสำเร็จอย่างสูงสำหรับผู้โจมตีในการตั้งหลักในเครือข่ายองค์กร นักวิจัยกล่าว ด้วยเหตุนี้ นักวิจัยของ Cybel จึงแนะนำให้องค์กรทั้งหมดใช้ผลิตภัณฑ์รักษาความปลอดภัยเพื่อตรวจหาอีเมลฟิชชิ่งและเว็บไซต์ในเครือข่ายของตน สิ่งเหล่านี้ควรขยายไปยังอุปกรณ์มือถือที่เข้าถึงเครือข่ายขององค์กรด้วย พวกเขากล่าว
องค์กรต่างๆ ควรให้ความรู้แก่พนักงานเกี่ยวกับอันตรายของการเปิดไฟล์แนบอีเมลจากแหล่งที่ไม่น่าเชื่อถือ เช่นเดียวกับการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์จากอินเทอร์เน็ต นักวิจัยกล่าว นอกจากนี้ยังควรเน้นย้ำถึงความสำคัญของการใช้รหัสผ่านที่รัดกุมและบังคับใช้การยืนยันตัวตนแบบหลายปัจจัยหากเป็นไปได้
สุดท้ายนี้ นักวิจัยของ Cyble แนะนำว่าตามหลักการทั่วไปแล้ว องค์กรต่างๆ ควรบล็อก URL เช่น ไซต์ Torrent/Warez ที่สามารถใช้แพร่มัลแวร์ได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ลงชื่อเข้าใช้
- ข้าม
- กิจกรรม
- อยากทำกิจกรรม
- การกระทำ
- อะโดบี
- โฆษณา
- ทั้งหมด
- และ
- ประจำปี
- ปรากฏ
- การใช้งาน
- ปพลิเคชัน
- แง่มุม
- การยืนยันตัวตน
- ใช้ได้
- พื้นหลัง
- เหยื่อ
- เพราะ
- กลายเป็น
- หลัง
- กำลัง
- ดีกว่า
- binance
- Bitcoin
- ปิดกั้น
- บล็อก
- ที่คั่นหนังสือ
- แบรนด์
- กล้า
- การละเมิด
- เบราว์เซอร์
- เบราว์เซอร์
- ธุรกิจ
- รณรงค์
- แคมเปญ
- จับ
- รอบคอบ
- ความท้าทาย
- การตรวจสอบ
- Chrome
- ลูกค้า
- รหัส
- ร่วมมือ
- การเก็บรวบรวม
- รวม
- คอมพิวเตอร์
- กังวล
- ต่อ
- อย่างต่อเนื่อง
- การควบคุม
- คุ้กกี้
- ไทม์ไลน์การ
- สร้าง
- ที่สร้างขึ้น
- หนังสือรับรอง
- การเข้ารหัสลับ
- crypto wallets
- อันตราย
- มืด
- Dark Web
- ข้อมูล
- การละเมิดข้อมูล
- dc
- ส่งมอบ
- การจัดส่ง
- นำไปใช้
- รายละเอียด
- ตรวจพบ
- อุปกรณ์
- ไดเรกทอรี
- แยกย้ายกันไป
- แสดง
- โดเมน
- ดาวน์โหลด
- ดาวน์โหลด
- ง่ายดาย
- ขอบ
- สอน
- อีเมล
- อีเมล
- พนักงาน
- ชั้นเยี่ยม
- การสร้างความมั่นใจ
- Enterprise
- ผู้ประกอบการ
- สิ่งแวดล้อม
- ในที่สุด
- ในที่สุด
- การดำเนินงาน
- การปฏิบัติ
- ส่วนขยาย
- เทียม
- คุณสมบัติ
- เนื้อไม่มีมัน
- ไฟล์
- ทางการเงิน
- Firefox
- ชื่อจริง
- ตาม
- ฟอร์ม
- พบ
- ราคาเริ่มต้นที่
- ได้รับ
- General
- กำหนด
- อย่างสูง
- ประวัติ
- อย่างไรก็ตาม
- HTTPS
- เป็นมนุษย์
- ระบุ
- ทันที
- ความสำคัญ
- in
- ประกอบด้วย
- รวมถึง
- รวมทั้ง
- ข้อมูล
- ข้อมูล
- แรกเริ่ม
- การติดตั้ง
- อินเทอร์เน็ต
- ร่วมมือ
- IT
- แจน
- ทราบ
- รู้ดี
- เลฟเวอเรจ
- LINK
- การเชื่อมโยง
- เครื่อง
- เครื่อง
- ทำ
- มัลแวร์
- การจัดการ
- ผู้จัดการ
- อาณัติ
- ข่าวสาร
- ส่งข้อความ
- วิธีการ
- ไมโครซอฟท์
- โทรศัพท์มือถือ
- อุปกรณ์มือถือ
- แบบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- ชื่อ
- เครือข่าย
- เครือข่าย
- ใหม่
- Notepad + +
- จำนวน
- วัตถุ
- ONE
- การเปิด
- Opera
- ใบสั่ง
- OS
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- มิฉะนั้น
- ทั้งหมด
- การระบาดกระจายทั่ว
- ส่วนหนึ่ง
- รหัสผ่าน
- รหัสผ่าน
- รูปแบบไฟล์ PDF
- ดำเนินการ
- phish
- ฟิชชิ่ง
- เว็บไซต์ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- เป็นไปได้
- ป้องกัน
- ผลิตภัณฑ์
- การตีพิมพ์
- ซื้อ
- หลาม
- ผู้รับ
- แนะนำ
- เสริมสร้าง
- ซากศพ
- รีโมท
- คนงานระยะไกล
- ตอบ
- นักวิจัย
- ว่า
- ตอบสนอง
- คำตอบ
- กฎ
- วิ่ง
- กล่าวว่า
- ภาพหน้าจอ
- ค้นหา
- ความปลอดภัย
- การส่ง
- มีความละเอียดอ่อน
- ชุด
- ร้ายแรง
- บริการ
- น่า
- สถานที่ทำวิจัย
- เลื่อน
- ส่อเสียด
- So
- สังคม
- วิศวกรรมทางสังคม
- ซอฟต์แวร์
- บาง
- บางคน
- แหล่งที่มา
- สแปม
- โดยเฉพาะ
- กระจาย
- คำแถลง
- งบ
- ขโมย
- ที่ถูกขโมย
- แข็งแรง
- ที่ประสบความสำเร็จ
- อย่างเช่น
- ระบบ
- เอา
- เป้า
- เป้าหมาย
- เป้าหมาย
- เทคโนโลยี
- พื้นที่
- ของพวกเขา
- ชุดรูปแบบ
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- เวลา
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- แบบดั้งเดิม
- ตามแบบฉบับ
- ภายใต้
- เป็นเอกลักษณ์
- บันทึก
- การเร่งรีบ
- URL
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ต่างๆ
- Verizon
- รุ่น
- ผ่านทาง
- เหยื่อ
- เสมือน
- เครื่องเสมือน
- VPN
- กระเป๋าสตางค์
- เว็บ
- Website
- เว็บไซต์
- ที่
- ในขณะที่
- จะ
- หน้าต่าง
- ไม่มี
- แรงงาน
- กำลังแรงงาน
- ลมทะเล
- ซูมเข้า