偷偷摸摸的新 信息窃取者 正在通过 Google Ads 的网站重定向进入用户机器,Google Ads 伪装成流行的远程办公软件(例如 Zoom 和 AnyDesk)的下载站点。
Cyble 的研究人员表示,新恶意软件“Rhadamanthys Stealer”(可在恶意软件即服务模型下在暗网上购买)背后的威胁参与者正在使用两种交付方法来传播其有效负载 在博客文章中透露 12月XNUMX日发布。
一种是通过精心制作的网络钓鱼站点,这些站点不仅可以模拟 Zoom 的下载站点,还可以模拟 AnyDesk、Notepad++ 和 Bluestacks 的下载站点。 另一种是通过更典型的网络钓鱼电子邮件,将恶意软件作为恶意附件发送,研究人员说。
这两种交付方法都对企业构成威胁,因为网络钓鱼与毫无戒心的企业员工的人为轻信相结合,仍然是威胁行为者“获得对企业网络的未授权访问权,这已成为一个严重问题”的成功方式,他们说。
事实上, 年度调查 Verizon 关于数据泄露 发现2021年,大约 82% 的违规行为涉及某种形式的社会工程,威胁参与者在 60% 以上的时间里更喜欢通过电子邮件对目标进行网络钓鱼。
“极具说服力”的骗局
研究人员检测到威胁行为者创建的用于传播 Rhadamanthys 的多个网络钓鱼域,其中大部分似乎是上述各种软件品牌的合法安装程序链接。 他们发现的一些恶意链接包括: bluestacks-install[.]com、zoomus-install[.]com、install-zoom[.]com、install-anydesk[.]com 和 zoom-meetings-install[.]com.
“这场活动背后的威胁行为者……创建了一个极具说服力的网络钓鱼网页,冒充合法网站诱骗用户下载窃取恶意软件,从而执行恶意活动,”他们写道。
研究人员表示,如果用户上钩,这些网站将下载一个伪装成合法安装程序的安装程序文件来下载相应的应用程序,在用户不知情的情况下在后台悄悄安装窃取程序。
在该活动的更传统的电子邮件方面,攻击者使用垃圾邮件,这些垃圾邮件利用典型的社会工程工具来描绘对具有财务主题的消息做出响应的紧迫性。 这些电子邮件声称向收件人发送账户报表,并附有 Statement.pdf,建议他们点击该文件,以便他们可以“立即回复”。
如果有人单击附件,它会显示一条消息,表明它是“Adobe Acrobat DC 更新程序”,并包含一个标记为“下载更新”的下载链接。 该链接一旦被点击,就会从 URL 为窃取者下载恶意软件可执行文件 “https[:]\zolotayavitrina[.]com/Jan-statement[.]exe” 进入受害者机器的下载文件夹,研究人员说。
他们说,一旦该文件被执行,窃取程序就会被部署以从目标计算机中提取敏感数据,例如浏览器历史记录和各种帐户登录凭据——包括针对加密钱包的特定技术。
Rhadamanthys 有效载荷
Rhadamanthys 的行为或多或少像 典型的信息窃取者; 然而,它确实有一些独特的功能,研究人员在观察它在受害者机器上的执行时发现了这些功能。
研究人员发现,虽然它的初始安装文件是经过混淆的 Python 代码,但最终的有效负载被解码为 32 位可执行文件形式的 shellcode,该文件是使用 Microsoft visual C/C++ 编译器编译的。
Shellcode 的首要任务是创建一个互斥对象,旨在确保在任何给定时间只有一个恶意软件副本在受害者的系统上运行。 研究人员说,它还会检查它是否在虚拟机上运行,表面上是为了防止窃取者在虚拟环境中被检测和分析。
“如果恶意软件检测到它在受控环境中运行,它将终止执行,”他们写道。 “否则,它将继续并按预期执行窃取活动。”
该活动包括通过执行一系列 Windows Management Instrumentation (WMI) 查询来收集系统信息,例如计算机名称、用户名、操作系统版本和其他机器详细信息。 接下来是在受害者机器上查询已安装浏览器(包括 Brave、Edge、Chrome、Firefox、Opera Software 等)的目录,以搜索和窃取浏览器历史记录、书签、cookie、自动填充和登录信息。
窃取者还具有针对各种加密钱包的特定授权,具体目标包括 Armory、Binance、比特币、ByteCoin、WalletWasabi、Zap 等。 研究人员说,它还从各种加密钱包浏览器扩展中窃取数据,这些扩展被硬编码在窃取程序二进制文件中。
Rhadamanthys 针对的其他应用程序包括:FTP 客户端、电子邮件客户端、文件管理器、密码管理器、VPN 服务和消息传递应用程序。 窃取者还捕获了受害者机器的屏幕截图。 研究人员说,该恶意软件最终会将所有被盗数据发送到攻击者的命令和控制 (C2) 服务器。
对企业的危害
自大流行以来,企业员工在地域上总体上变得更加分散,构成 独特的安全挑战. 使远程工作者更容易协作的软件工具——如 Zoom 和 AnyDesk——已成为流行的目标,不仅是 特定于应用程序的威胁,但也适用于想要利用这些挑战的攻击者的社会工程活动。
研究人员表示,虽然现在大多数企业员工应该更了解网络钓鱼,但网络钓鱼仍然是攻击者在企业网络中立足的一种非常成功的方式。 因此,Cybel 研究人员建议所有企业都使用安全产品来检测其网络中的网络钓鱼电子邮件和网站。 他们说,这些也应该扩展到访问公司网络的移动设备。
研究人员表示,企业应就打开来自不受信任来源的电子邮件附件以及从 Internet 下载盗版软件的危险对员工进行教育。 他们还应该强调使用强密码的重要性,并尽可能实施多因素身份验证。
最后,Cyble 研究人员建议,作为一般经验法则,企业应该阻止可用于传播恶意软件的 URL——例如 Torrent/Warez 站点。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- 关于
- ACCESS
- 访问
- 账号管理
- 横过
- 活动
- 活动
- 行为
- 土砖
- 广告
- 所有类型
- 和
- 全年
- 出现
- 应用领域
- 应用
- 方面
- 认证
- 可使用
- 背景
- 饵
- 因为
- 成为
- 背后
- 作为
- 更好
- binance
- 比特币
- 阻止
- 博客
- 书签
- 品牌
- 勇往直前
- 违规
- 浏览器
- 浏览器
- 商业
- 营销活动
- 活动
- 捕获
- 小心
- 挑战
- 支票
- 铬
- 客户
- 码
- 合作
- 收藏
- 结合
- 一台
- 关心
- 继续
- 继续
- 受控
- 曲奇饼
- 公司
- 创建信息图
- 创建
- 资历
- 加密
- 加密钱包
- 危险
- 黑暗
- 黑暗的网络
- data
- 数据泄露
- dc
- 交付
- 交货
- 部署
- 详情
- 检测
- 设备
- 目录
- 分散
- 显示器
- 域名
- 下载
- 下载
- 更容易
- 边缘
- 教育
- 邮箱地址
- 电子邮件
- 员工
- 工程师
- 保证
- 企业
- 企业
- 环境
- 最终的
- 终于
- 执行
- 执行
- 扩展
- 假
- 特征
- 文件
- 档
- 金融
- 火狐
- 姓氏:
- 其次
- 申请
- 发现
- 止
- Gain增益
- 其他咨询
- 特定
- 谷歌
- 高度
- 历史
- 但是
- HTTPS
- 人
- 确定
- 即时
- 重要性
- in
- 包括
- 包括
- 包含
- info
- 信息
- 初始
- 安装
- 网络
- 参与
- IT
- 一月三十一日
- 知道
- 会心
- 杠杆作用
- 友情链接
- 链接
- 机
- 机
- 使
- 恶意软件
- 颠覆性技术
- 经理
- 要求
- 的话
- 消息
- 方法
- 微软
- 联络号码
- 移动设备
- 模型
- 更多
- 最先进的
- 多因素身份验证
- 姓名
- 网络
- 网络
- 全新
- 记事本+ +
- 数
- 对象
- 一
- 开放
- Opera
- 秩序
- OS
- 其他名称
- 其它
- 除此以外
- 最划算
- 流感大流行
- 部分
- 密码
- 密码
- 演出
- 网络钓鱼
- 钓鱼
- 钓鱼网站
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 热门
- 可能
- 防止
- 热销产品
- 出版
- 采购
- 蟒蛇
- 收件人
- 建议
- 加强
- 遗迹
- 远程
- 远程工作者
- 一个回复
- 研究人员
- 那些
- 回应
- 响应
- 第
- 运行
- 说
- 截图
- 搜索
- 保安
- 发送
- 敏感
- 系列
- 严重
- 特色服务
- 应该
- 网站
- 滑动
- 偷偷摸摸
- So
- 社会
- 社会工程学
- 软件
- 一些
- 有人
- 来源
- 垃圾邮件
- 具体的
- 传播
- 个人陈述
- 声明
- 抢断
- 被盗
- 强烈
- 成功
- 这样
- 系统
- 采取
- 目标
- 针对
- 目标
- 专业技术
- 其
- 主题
- 威胁
- 威胁者
- 通过
- 次
- 至
- 工具
- 工具
- 传统
- 普遍
- 下
- 独特
- 更新
- 急
- 网址
- 使用
- 用户
- 用户
- 各个
- Verizon
- 版本
- 通过
- 受害者
- 在线会议
- 虚拟机
- VPN
- 钱包
- 卷筒纸
- 您的网站
- 网站
- 这
- 而
- 将
- 窗户
- 也完全不需要
- 工人
- 劳动力
- 和风网
- 放大