ΑρχικήSecurityPhishing emails στοχεύουν τράπεζες και διανέμουν το Remcos RAT

Phishing emails στοχεύουν τράπεζες και διανέμουν το Remcos RAT

Αφρικανικές τράπεζες βρίσκονται στο στόχαστρο hackers που διανέμουν trojans με σκοπό την απομακρυσμένη πρόσβαση σε συστήματα (RAT). Συγκεκριμένα, το τελευταίο διάστημα, οι τράπεζες λαμβάνουν phishing emails που διανέμουν το Remcos RAT.

Οι εγκληματίες του κυβερνοχώρου που ενδιαφέρονται για γρήγορα οικονομικά κέρδη αποτελούν μια συνεχή πηγή προβλημάτων για τις τράπεζες στην Αφρική, οι οποίες ενισχύουν συνεχώς τα συστήματα άμυνας και ασφάλειάς τους για να μπορέσουν να τους αντιμετωπίσουν.

Οι επιτιθέμενοι με τη σειρά τους βρίσκουν νέες και πιο έξυπνες μεθόδους επίθεσης για να παρακάμψουν τα μέτρα προστασίας. Τους τελευταίους μόνο μήνες (από την αρχή του 2022), οι malware εκστρατείες που στοχεύουν αφρικανικές τράπεζες, χρησιμοποιούν έναν συνδυασμό tricks για να αυξήσουν τις πιθανότητες επιτυχίας.

Δείτε επίσης: Elementor WordPress plugin: Κρίσιμη ευπάθεια επηρεάζει χιλιάδες sites

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 15 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 22 hours ago

τράπεζες phishing

Μία από αυτές τις καμπάνιες του 2022 ανακαλύφθηκε από την HP Wolf Security, οι αναλυτές της οποίας εξέτασαν τις τακτικές των επιτιθέμενων και τα βήματα μόλυνσης.

Έναρξη της επίθεσης με phishing email

Η επίθεση ξεκινά με ένα phishing email που αποστέλλεται σε υπαλλήλους που δουλεύουν σε τράπεζες, από ένα domain που μοιάζει με τη διεύθυνση URL μιας νόμιμης εταιρείας αλλά έχει τυπογραφικά λάθη. Συνήθως το domain υποδύεται μια ανταγωνιστική τράπεζα.

Το email προτείνει στον παραλήπτη μια ενδιαφέρουσα θέση εργασίας και περιέχει συνδέσμους προς ένα site, για περισσότερες λεπτομέρειες. Αν ο υπάλληλος πατήσει πάνω στο σύνδεσμο οδηγείται σε μια ιστοσελίδα που περιέχει οδηγίες για την αίτηση.

Το περιεχόμενο αυτής της σελίδας αντιγράφεται από μια πραγματική καταχώριση της τράπεζας που μιμείται, κι έτσι τα στοιχεία φαίνονται πολύ ρεαλιστικά.

Αυτά τα sites δεν εκτελούν phishing και δεν φιλοξενούν κακόβουλο λογισμικό, επομένως ο μοναδικός τους σκοπός είναι να πείσουν το θύμα και να το κάνουν να συνεχίσει στη διαδικασία μόλυνσης.

Κακόβουλο payload

Το payload φθάνει με τη μορφή συνημμένου HTML στο εν λόγω email, το οποίο είναι base64-encoded ISO archive file που αποκωδικοποιείται και προσφέρεται για λήψη μέσω JavaScript blob στο πρόγραμμα περιήγησης.

Αυτή η τεχνική προώθησης επικίνδυνων file formats χωρίς να ενεργοποιούνται τα συστήματα ασφάλειας email, ονομάζεται HTML smuggling και είναι μια μοντέρνα μέθοδος διανομής κακόβουλων payloads.

Το ISO file περιέχει ένα Visual Basic Script (VBS) file, το οποίο εκτελείται με διπλό κλικ για να δημιουργήσει ένα νέο Registry key και να εκτελέσει εντολές PowerShell που προκαλούν διάφορα Windows API functions.

Δείτε επίσης: Aethon: Κρίσιμες ευπάθειες σε ρομπότ νοσοκομείων – Διορθώθηκαν

Μετά από μια σειρά από εκτελέσεις κακόβουλου κώδικα και κατάχρηση Windows API, εμφανίζεται το GuLoader. Αυτό το κακόβουλο λογισμικό είναι ένα πρόγραμμα φόρτωσης που κατεβάζει και εκτελεί άλλα malware. Σε αυτήν την καμπάνια, το GuLoader χρησιμοποιήθηκε για λήψη και εκτέλεση του RemcosRAT malware. Για το σκοπό αυτό, υπάρχουν δύο διευθύνσεις URL στο configuration του GuLoader που οδηγούν στο RemcosRAT payload. Το ένα payload URL οδηγεί στο OneDrive και το άλλο στο Dropbox. Άλλες καμπάνιες που περιλαμβάνουν το GuLoader, έχουν επίσης χρησιμοποιήσει υπηρεσίες κοινής χρήσης αρχείων για τη φιλοξενία malware payloads. Δεδομένου ότι το payload είναι επίσης κρυπτογραφημένο, μπορεί να είναι δύσκολο για τους παρόχους υπηρεσιών να το εντοπίσουν και να το αφαιρέσουν.

Remcos RAT
Phishing emails στοχεύουν τράπεζες και διανέμουν το Remcos RAT

Στόχος

Το Remcos είναι ένα κατά τα άλλα νόμιμο εμπορικό εργαλείο απομακρυσμένης πρόσβασης (RAT) που χρησιμοποιείται όμως και από εγκληματίες του κυβερνοχώρου για κακόβουλους σκοπούς.

Το εργαλείο επιτρέπει την απομακρυσμένη εκτέλεση εντολών, τη λήψη screenshots, την καταγραφή πληκτρολογήσεων, τη χρήση κάμερας και μικροφώνου και πολλά άλλα.

Δείτε επίσης: Fakecalls trojan: Παραβιάζει κλήσεις χρηστών προς την υπηρεσία υποστήριξης πελατών τραπεζών

Οι εγκληματίες που στοχεύουν τις αφρικανικές τράπεζες με τα phishing emails, πιθανότατα χρησιμοποιούν το Remcos RAT για να αποκτήσουν πρόσβαση σε στοιχεία συναλλαγών, να κλέψουν πολύτιμα credentials, να εξαπλωθούν στο δίκτυο της τράπεζας ή να κλέψουν πληροφορίες που χρειάζονται για επιθέσεις BEC.

Ο οικονομικός εκβιασμός μέσω εξαγωγής δεδομένων ή ανάπτυξης ransomware είναι επίσης πιθανός, ενώ οι επιτιθέμενοι μπορούν επίσης να πουλήσουν την πρόσβαση στα δίκτυα σε άλλους hackers για να βγάλουν χρήματα.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS