ΑρχικήsecurityΨεύτικες καταγγελίες πνευματικών δικαιωμάτων διανέμουν το IcedID malware μέσω Yandex Forms

Ψεύτικες καταγγελίες πνευματικών δικαιωμάτων διανέμουν το IcedID malware μέσω Yandex Forms

Οι ιδιοκτήτες sites στοχοποιούνται με ψεύτικες καταγγελίες παραβίασης πνευματικών δικαιωμάτων που χρησιμοποιούν Yandex Forms για τη διανομή του IcedID banking malware. Οι επιθέσεις αυτές φαίνεται πως διεξάγονται για περισσότερο από ένα χρόνο. Οι εγκληματίες του κυβερνοχώρου που βρίσκονται πίσω από αυτή την εκστρατεία παρακολουθούνται ως TA578 και χρησιμοποιούν τη σελίδα επικοινωνίας ενός site για να στείλουν απειλές για παραβίαση πνευματικών δικαιωμάτων και να πείσουν τους παραλήπτες να κατεβάσουν μια αναφορά σχετικά με το περιεχόμενο που προκαλεί το πρόβλημα.

IcedID malware

Αυτές οι αναφορές υποτίθεται ότι περιέχουν αποδείξεις περί επιθέσεων DDoS ή υλικό που προστατεύεται από πνευματικά δικαιώματα και χρησιμοποιείται χωρίς άδεια. Στην πραγματικότητα, όμως, μολύνουν τη συσκευή ενός στόχου με διάφορα malware, συμπεριλαμβανομένων των BazarLoader, BumbleBee και IcedID.

Δείτε επίσης: Quantum ransomware: Επίθεση επηρεάζει 657 οργανισμούς υγείας

Αυτή την εβδομάδα, το BleepingComputer έλαβε μια νέα έκδοση της απειλής περί “παραβίασης πνευματικών δικαιωμάτων” που προσποιείται ότι είναι από τη Zoho, δηλώνοντας ότι το site χρησιμοποιεί εικόνες που προστατεύονται από πνευματικά δικαιώματα.

Γεια σας,

Ο ιστότοπός σας ή ένας ιστότοπος που φιλοξενεί ο οργανισμός σας παραβιάζει εικόνες που προστατεύονται από πνευματικά δικαιώματα που ανήκουν στην εταιρεία μας (zoho Inc.).

Δείτε αυτήν την αναφορά με τους συνδέσμους προς τις εικόνες που χρησιμοποιήσατε στη διεύθυνση www.bleepingcomputer.com και την προηγούμενη δημοσίευσή μας για να λάβετε την απόδειξη των πνευματικών δικαιωμάτων μας.

Κατεβάστε το τώρα και ελέγξτε μόνοι σας: https://forms.yandex.com/u/62c3f14d59f1f7ef4295d2c1/success/?0=742998805032103091

Πιστεύω ότι έχετε παραβιάσει εσκεμμένα τα δικαιώματά μας βάσει του 17 U.S.C. Section 101 et seq. και θα μπορούσατε να αντιμετωπίσετε ποινή έως και 130.000 $ όπως ορίζεται στο Section 504 (c) (2) του Digital Millennium Copyright Act (”DMCA”).

Αυτό το μήνυμα είναι μια επίσημη ειδοποίηση. Επιδιώκω την αφαίρεση του υλικού που αναφέρεται παραπάνω. Λάβετε υπόψη σας ως εταιρεία ότι το DMCA απαιτεί από εσάς να καταργήσετε ή να τερματίσετε την πρόσβαση στο υλικό που προστατεύεται από πνευματικά δικαιώματα μόλις λάβετε τη συγκεκριμένη επιστολή. Σε περίπτωση που δεν σταματήσετε τη χρήση του προαναφερόμενου περιεχομένου που προστατεύεται από πνευματικά δικαιώματα, πιθανότατα θα γίνει δικαστική αγωγή εναντίον σας.

Πιστεύω ακράδαντα ότι η χρήση του υλικού που προστατεύεται από πνευματικά δικαιώματα που περιγράφονται παραπάνω δεν εγκρίνεται από τον νόμιμο κάτοχο πνευματικών δικαιωμάτων, τον νόμιμο αντιπρόσωπό του ή τη νομοθεσία.

Δηλώνω ότι οι πληροφορίες σε αυτό το μήνυμα είναι σωστές και βεβαιώνω ότι είμαι εξουσιοδοτημένος να ενεργώ για λογαριασμό του δικαιούχου ενός αποκλειστικού και νομικού δικαιώματος που φέρεται ότι έχει παραβιαστεί.

Τις καλύτερες ευχές,

Christian Brdakic

Νομικός Υπάλληλος

zoho, Inc.

zoho.com

07/06/2022

Ψεύτικες καταγγελίες πνευματικών δικαιωμάτων διανέμουν το IcedID malware μέσω Yandex Forms

Ωστόσο, αυτό που ήταν διαφορετικό με αυτήν την καμπάνια είναι ότι αντί να χρησιμοποιείται το Google Drive ή Google Sites για τη φιλοξενία των υποτιθέμενων “αναφορών” για το περιεχόμενο που παραβιάζει τα πνευματικά δικαιώματα, οι φορείς απειλών χρησιμοποιούν τώρα το Yandex Forms.

Δείτε επίσης: Online programming IDEs μπορούν να χρησιμοποιηθούν για την έναρξη απομακρυσμένων επιθέσεων

Το Yandex Forms είναι μια δωρεάν υπηρεσία που επιτρέπει στους χρήστες να δημιουργούν προσαρμοσμένες διαδικτυακές φόρμες. Ωστόσο, μπορεί να χρησιμοποιηθεί και από φορείς απειλών για τη δημιουργία phishing landing pages.

Όταν το θύμα κάνει κλικ στο σύνδεσμο forms.yandex.com στην καταγγελία περί παραβίασης πνευματικών δικαιωμάτων, μεταφέρεται σε μια ιστοσελίδα που αναφέρει ότι το αρχείο με τα στοιχεία των κλεμμένων εικόνων είναι έτοιμο για λήψη.

Στη συνέχεια, το Yandex Form θα πραγματοποιήσει λήψη ενός αρχείου ISO με το όνομα “Stolen_ImagesEvidence.iso” από έναν ενσωματωμένο σύνδεσμο firebasestorage.googleapis.com.

Ψεύτικες καταγγελίες πνευματικών δικαιωμάτων διανέμουν το IcedID malware μέσω Yandex Forms

Τα αρχεία ISO έχουν γίνει δημοφιλές συνημμένο στις επιθέσεις phishing. Μετά το διπλό κλικ στο αρχείο ISO, θα ανοίξει ένα νέο drive letter που περιέχει αυτό που φαίνεται να είναι ένας φάκελος «έγγραφα» και ένα αρχείο DLL με τυχαία ονομασία.

Δείτε επίσης: Το νέο malware OrBit κλέβει δεδομένα από συσκευές Linux

Ωστόσο, αυτός ο φάκελος εγγράφων είναι στην πραγματικότητα μια συντόμευση των Windows και αν το θύμα κάνει διπλό κλικ, θα γίνει εκτέλεση ενός κακόβουλου αρχείου DLL χρησιμοποιώντας την εντολή rundll32.exe. Αυτό το DLL είναι ένας φορτωτής για το IcedID malware, ένα banking trojan που μπορεί να κλέψει Windows credentials και να αναπτύξει πρόσθετα payloads για να επιτρέψει την αρχική πρόσβαση σε δίκτυα, όπως Cobalt Strike beacons. Αυτά τα δευτερεύοντα payloads συχνά οδηγούν σε πλήρεις επιθέσεις ransomware στο δίκτυο που έχει πλέον παραβιαστεί.

Όπως φαίνεται, αυτές οι καταγγελίες περί παραβίασης πνευματικών δικαιωμάτων μπορεί να είναι αρκετά πειστικές και η απειλή για νομικές συνέπειες, μπορεί να κάνουν κάποιον να δράσει χωρίς να σκεφτεί καθαρά.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS