Підлий новий викрадач інформації просувається на комп’ютери користувачів через перенаправлення веб-сайтів із Google Ads, які видають за сайти завантаження популярного програмного забезпечення для віддаленої роботи, наприклад Zoom і AnyDesk.
Загрозливі особи, що стоять за новою різновидом зловмисного програмного забезпечення «Rhadamanthys Stealer», який можна придбати в темній мережі за моделлю «зловмисне програмне забезпечення як послуга», використовують два методи доставки для поширення свого корисного навантаження, дослідники Cyble розкрито у дописі в блозі опубліковано 12 січ.
Один з них – через ретельно розроблені фішингові сайти, які видають себе за сайти завантаження не лише для Zoom, але й для AnyDesk, Notepad++ і Bluestacks. Інший – через типовіші фішингові електронні листи, які доставляють зловмисне програмне забезпечення як зловмисне вкладення, кажуть дослідники.
Обидва способи доставки становлять загрозу для підприємства, оскільки фішинг у поєднанні з людською довірливістю з боку нічого не підозрюючих співробітників компанії продовжує залишатися успішним способом для зловмисників «отримати несанкціонований доступ до корпоративних мереж, що стало серйозною проблемою», вони вважають. сказав.
Справді, щорічне опитування компанією Verizon щодо витоку даних виявили, що у 2021р, приблизно 82% усіх зловмисників у тій чи іншій формі включали соціальну інженерію, причому суб’єкти загроз віддають перевагу фішингу своїх цілей електронною поштою більше ніж у 60% випадків.
«Дуже переконлива» афера
Дослідники виявили низку фішингових доменів, які зловмисники створили для поширення Rhadamanthys, більшість із яких, здається, є законними посиланнями для встановлення програмного забезпечення різних вищезгаданих марок. Серед виявлених шкідливих посилань: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com і zoom-meetings-install[.]com.
«Актори загрози, що стоять за цією кампанією… створили дуже переконливу фішингову веб-сторінку, яка видає себе за законні веб-сайти, щоб обманом змусити користувачів завантажити зловмисне програмне забезпечення, яке виконує зловмисні дії», — написали вони.
Якщо користувачі ловлять наживку, веб-сайти завантажуватимуть файл інсталятора, замаскований під законний інсталятор для завантаження відповідних програм, тихо встановлюючи злодій у фоновому режимі без відома користувача, кажуть дослідники.
У більш традиційному аспекті кампанії електронною поштою зловмисники використовують спам, який використовує типовий інструмент соціальної інженерії, щоб показати терміновість відповісти на повідомлення фінансової теми. Електронні листи нібито надсилають одержувачам виписки з рахунків із вкладеним файлом Statement.pdf, який їм рекомендується натиснути, щоб вони могли відповісти «негайною відповіддю».
Якщо хтось клацне вкладення, відобразиться повідомлення про те, що це «Програма оновлення Adobe Acrobat DC», і містить посилання для завантаження з позначкою «Завантажити оновлення». Після натискання це посилання завантажує виконуваний файл зловмисного програмного забезпечення для викрадача з URL-адреси “https[:]\золотавітрина[.]com/Jan-statement[.]exe” Дослідники кажуть, що в папку завантажень комп’ютера-жертви.
Після запуску цього файлу викрадач розгортається для вилучення конфіденційних даних, таких як історія веб-переглядача та різні облікові дані для входу в обліковий запис, включаючи спеціальну технологію для націлювання на криптогаманець, з комп’ютера цілі, кажуть вони.
Корисне навантаження Radamanthys
Radamanthys діє більш-менш як a типовий викрадач інформації; однак він має деякі унікальні особливості, які дослідники виявили, спостерігаючи за його виконанням на машині жертви.
Незважаючи на те, що його початкові інсталяційні файли містять обфускований код Python, кінцеве корисне навантаження декодується як шелл-код у формі 32-розрядного виконуваного файлу, скомпільованого за допомогою компілятора Microsoft Visual C/C++, виявили дослідники.
Першим завданням шелл-коду є створення об’єкта м’ютексу, який гарантує, що в системі жертви в будь-який момент часу працює лише одна копія зловмисного програмного забезпечення. За словами дослідників, він також перевіряє, чи працює він на віртуальній машині, нібито для того, щоб запобігти виявленню та аналізу злодія у віртуальному середовищі.
«Якщо зловмисне програмне забезпечення виявить, що воно працює в контрольованому середовищі, воно припинить своє виконання», — написали вони. «В іншому випадку він продовжить і виконуватиме крадіжну діяльність за призначенням».
Ця діяльність включає збір системної інформації — такої як ім’я комп’ютера, ім’я користувача, версія ОС та інші деталі машини — шляхом виконання серії запитів інструментарію керування Windows (WMI). Після цього виконується запит до каталогів встановлених браузерів — зокрема Brave, Edge, Chrome, Firefox, Opera Software та інших — на комп’ютері жертви для пошуку та викрадення історії браузера, закладок, файлів cookie, автозаповнення та облікові дані для входу.
Зловмисник також має спеціальне повноваження націлюватися на різні криптогаманці, зокрема на Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap та інші. За словами дослідників, він також краде дані з різних розширень браузера крипто-гаманця, які жорстко закодовані в бінарному файлі викрадача.
Інші програми, на які націлена Rhadamanthys: FTP-клієнти, клієнти електронної пошти, файлові менеджери, менеджери паролів, служби VPN і програми обміну повідомленнями. Викрадач також робить скріншоти машини жертви. За словами дослідників, зловмисне програмне забезпечення зрештою надсилає всі вкрадені дані на командно-контрольний (C2) сервер зловмисників.
Небезпека для підприємства
Після пандемії корпоративна робоча сила загалом стала більш географічно розосередженою унікальні проблеми безпеки. Програмні засоби, які спрощують співпрацю віддалених працівників, як-от Zoom і AnyDesk, стали популярними цілями не лише для загрози, характерні для програми, а також для кампаній соціальної інженерії зловмисників, які хочуть отримати вигоду з цих проблем.
І хоча більшість корпоративних співробітників вже повинні знати краще, дослідники кажуть, що фішинг залишається дуже успішним способом для зловмисників закріпитися в корпоративній мережі. Через це дослідники Cybel рекомендують усім підприємствам використовувати продукти безпеки для виявлення фішингових електронних листів і веб-сайтів у своїй мережі. Вони також сказали, що вони повинні поширюватися на мобільні пристрої, які мають доступ до корпоративних мереж.
Підприємства повинні навчати своїх співробітників про небезпеку відкриття вкладень електронної пошти з ненадійних джерел, а також завантаження піратського програмного забезпечення з Інтернету, кажуть дослідники. Вони також повинні підкреслити важливість використання надійних паролів і запровадити багатофакторну автентифікацію, де це можливо.
Нарешті, дослідники Cyble повідомили, що як загальне емпіричне правило підприємства повинні блокувати URL-адреси, такі як сайти Torrent/Warez, які можуть використовуватися для поширення шкідливого програмного забезпечення.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- МЕНЮ
- доступ
- доступ до
- рахунки
- через
- діяльності
- діяльність
- акти
- саман
- оголошення
- ВСІ
- та
- щорічний
- з'являтися
- застосування
- додатка
- зовнішній вигляд
- Authentication
- доступний
- фон
- bait
- оскільки
- ставати
- за
- буття
- Краще
- бінанду
- Біткойн
- Блокувати
- Блог
- закладки
- бренди
- хоробрий
- порушення
- браузер
- браузери
- бізнес
- Кампанія
- Кампанії
- захвати
- обережно
- проблеми
- Перевірки
- Chrome
- клієнтів
- код
- співпрацювати
- Збір
- комбінований
- комп'ютер
- Занепокоєння
- продовжувати
- триває
- контроль
- печиво
- Корпоративний
- створювати
- створений
- Повноваження
- крипто
- криптографічні гаманці
- Небезпеки
- темно
- Dark Web
- дані
- Порушення даних
- dc
- доставляти
- доставка
- розгорнути
- деталі
- виявлено
- прилади
- каталоги
- розійшлися
- дисплеїв
- домени
- скачати
- завантажень
- легше
- край
- виховувати
- повідомлення електронної пошти
- співробітників
- Машинобудування
- забезпечення
- підприємство
- підприємств
- Навколишнє середовище
- евентуально
- врешті-решт
- виконання
- виконання
- Розширення
- підроблений
- риси
- філе
- Файли
- фінансовий
- Firefox
- Перший
- потім
- форма
- знайдений
- від
- Отримувати
- Загальне
- даний
- дуже
- історія
- Однак
- HTTPS
- людина
- ідентифікований
- Негайний
- значення
- in
- включати
- includes
- У тому числі
- інформація
- інформація
- початковий
- установка
- інтернет
- залучений
- IT
- січень
- Знати
- Знання
- Важіль
- LINK
- зв'язку
- машина
- Машинки для перманенту
- зробити
- шкідливих програм
- управління
- Менеджери
- Мандат
- повідомлення
- обмін повідомленнями
- методика
- Microsoft
- Mobile
- мобільні пристрої
- модель
- більше
- найбільш
- багатофакторна аутентифікація
- ім'я
- мережу
- мереж
- Нові
- Notepad + +
- номер
- об'єкт
- ONE
- відкриття
- Opera
- порядок
- OS
- Інше
- інші
- інакше
- загальний
- пандемія
- частина
- Пароль
- Паролі
- Виконувати
- фіш
- phishing
- Фішингові сайти
- plato
- Інформація про дані Платона
- PlatoData
- популярний
- це можливо
- запобігати
- Продукти
- опублікований
- покупка
- Python
- одержувачів
- рекомендувати
- зміцнювати
- залишається
- віддалений
- віддалені працівники
- відповісти
- Дослідники
- ті
- Реагувати
- відповідь
- Правило
- біг
- Зазначений
- скріншоти
- Пошук
- безпеку
- відправка
- чутливий
- Серія
- серйозний
- Послуги
- Повинен
- сайти
- ковзання
- Підлий
- So
- соціальна
- Соціальна інженерія
- Софтвер
- деякі
- Хтось
- Джерела
- спам
- конкретний
- поширення
- Заява
- заяви
- крадеться
- вкрали
- сильний
- успішний
- такі
- система
- Приймати
- Мета
- цільове
- цілі
- Технологія
- Команда
- їх
- тема
- загроза
- актори загроз
- через
- час
- до
- інструмент
- інструменти
- традиційний
- типовий
- при
- створеного
- Оновити
- терміновість
- URL
- використання
- користувач
- користувачі
- різний
- Verizon
- версія
- через
- Жертва
- Віртуальний
- віртуальна машина
- VPN
- Гаманці
- Web
- веб-сайт
- веб-сайти
- який
- в той час як
- волі
- windows
- без
- робочі
- Трудові ресурси
- зефірнет
- зум