ΑρχικήSecurityΚακόβουλα αρχεία CSV εγκαθιστούν το BazarBackdoor malware

Κακόβουλα αρχεία CSV εγκαθιστούν το BazarBackdoor malware

Όπως ανακαλύφθηκε από ερευνητές ασφαλείας, μία νέα καμπάνια phishing χρησιμοποιεί ειδικά δημιουργημένα αρχεία κειμένου CSV, με σκοπό να μολύνει τις συσκευές των χρηστών με το κακόβουλο λογισμικό BazarBackdoor.

BazarBackdoor

Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware

Τα CSV είναι αρχεία που περιέχουν γραμμές κειμένου με στήλες δεδομένων, που χωρίζονται με κόμματα. Σε πολλές περιπτώσεις, η πρώτη γραμμή κειμένου είναι η κεφαλίδα ή η περιγραφή για κάθε στήλη.

Η χρήση αρχείων CSV είναι μια δημοφιλής μέθοδος για την εξαγωγή δεδομένων από εφαρμογές, που μπορούν στη συνέχεια να εισαχθούν σε άλλα προγράμματα ως πηγή δεδομένων, είτε πρόκειται για Excel, βάση δεδομένων, διαχειριστές κωδικών πρόσβασης ή λογισμικό χρέωσης.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 14 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 21 hours ago

Δεδομένου ότι ένα CSV είναι απλώς κείμενο χωρίς εκτελέσιμο κώδικα, πολλοί άνθρωποι θεωρούν αυτούς τους τύπους αρχείων ακίνδυνους και μπορεί να μην είναι τόσο προσεκτικοί.

Ωστόσο, το Microsoft Excel υποστηρίζει μια δυνατότητα που ονομάζεται Dynamic Data Exchange (DDE), η οποία μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών, των οποίων η έξοδος εισάγεται στο ανοιχτό υπολογιστικό φύλλο, συμπεριλαμβανομένων των αρχείων CSV.

Δυστυχώς, οι κακόβουλοι χρήστες μπορούν επίσης να κάνουν κατάχρηση αυτής της δυνατότητας για να εκτελέσουν εντολές που κάνουν λήψη και εγκατάσταση κακόβουλου λογισμικού.

Μια νέα καμπάνια phishing που εντόπισε ο ερευνητής ασφάλειας Chris Campbell εγκαθιστά τον trojan BazarLoader/BazarBackdoor μέσω κακόβουλων αρχείων CSV.

Το BazarBackdoor είναι ένα κρυφό κακόβουλο λογισμικό backdoor, που δημιουργήθηκε από την ομάδα TrickBot για να παρέχει στους κακόβουλους χρήστες απομακρυσμένη πρόσβαση σε μια εσωτερική συσκευή που μπορεί να χρησιμοποιηθεί στη συνέχεια για περαιτέρω πλευρική κίνηση μέσα σε ένα δίκτυο.

Δείτε ακόμα: Επιθέσεις Log4j από κρατικούς hacker μέσω νέου PowerShell backdoor

Τα μηνύματα ηλεκτρονικού phishing, προσποιούνται ότι είναι “Συμβουλές εμβάσματος πληρωμής” με συνδέσμους σε απομακρυσμένους ιστότοπους που κάνουν λήψη ενός αρχείου CSV με ονόματα όπως  “document-21966.csv“.

CSV

Το αρχείο φαίνεται σαν ένα τυπικό CSV, ωστόσο το astute reader θα παρατηρήσει ότι μία από τις στήλες δεδομένων περιέχει μια παράξενη κλήση WMIC που εκκινεί μια εντολή PowerShell.

Η εντολή είναι μια συνάρτηση DDE που αναγκάζει το Microsoft Excel, εάν δοθεί άδεια, να εκκινήσει το WMIC.exe και να εκτελέσει την παρεχόμενη εντολή PowerShell για την εισαγωγή δεδομένων στο ανοιχτό βιβλίο εργασίας.

Στη συγκεκριμένη περίπτωση, το DDE θα χρησιμοποιήσει το WMIC για να δημιουργήσει μια νέα διαδικασία PowerShell που ανοίγει μια απομακρυσμένη διεύθυνση URL που περιέχει μια άλλη εντολή PowerShell που στη συνέχεια εκτελείται.

Η απομακρυσμένη εντολή PowerShell, θα κατεβάσει ένα αρχείο picture.jpg και θα το αποθηκεύσει ως C:\Users\Public\87764675478.dll. Στη συνέχεια, αυτό το πρόγραμμα DLL εκτελείται χρησιμοποιώντας την εντολή rundll32.exe.

Το αρχείο DLL θα εγκαταστήσει το BazarLoader, αναπτύσσοντας τελικά το BazarBackdoor και άλλα ωφέλιμα φορτία στη συσκευή.

Ευτυχώς όταν αυτό το αρχείο CSV ανοίξει στο Excel, το πρόγραμμα θα εντοπίσει την κλήση DDE και θα ζητήσει από τον χρήστη να “ενεργοποιήσει την αυτόματη ενημέρωση των συνδέσμων”, η οποία επισημαίνεται ως προειδοποίηση ασφαλείας.

Δείτε επίσης: Κακόβουλα πρόσθετα Excel XLL προωθούν το κακόβουλο λογισμικό RedLine

Ακόμα κι αν ενεργοποιήσουν τη δυνατότητα, το Excel θα τους εμφανίσει ένα ακόμα μήνυμα που θα ζητά επιβεβαίωση για να επιτραπεί στο WMIC να αρχίσει να έχει πρόσβαση στα απομακρυσμένα δεδομένα. Εάν ο χρήστης επιβεβαιώσει και τα δύο μηνύματα, το Microsoft Excel θα εκκινήσει τα σενάρια PowerShell, το DLL θα ληφθεί και θα εκτελεστεί και το BazarBackdoor θα εγκατασταθεί στη συσκευή.

Η παραπάνω επίθεση δείχνει για ακόμα μία φορά, πόσο σημαντικό είναι να είμαστε προσεκτικοί με τα αρχεία που λαμβάνουμε, ακόμα κι όταν αυτά φαίνονται ακίνδυνα και να μην ανοίγουμε κανένα αρχείο που δεν γνωρίζουμε την ακριβή του προέλευση.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS