ΑρχικήSecurityΟμάδα Lazarus: Διανέμει κακόβουλο λογισμικό macOS μέσω του Crypto.com

Ομάδα Lazarus: Διανέμει κακόβουλο λογισμικό macOS μέσω του Crypto.com

Η περιβόητη ομάδα hacking Lazarus, χρησιμοποιεί τώρα ψεύτικες προσφορές εργασίας στο «Crypto.com», στοχεύοντας προγραμματιστές και καλλιτέχνες στον χώρο των κρυπτονομισμάτων, για να κλέψει ψηφιακά περιουσιακά στοιχεία και κρυπτονομίσματα.

Δείτε επίσης: Η ομάδα Lazarus στοχοποιεί τους παρόχους ενέργειας των ΗΠΑ

Lazarus

Το Crypto.com είναι μια από τις κορυφαίες πλατφόρμες ανταλλαγής κρυπτονομισμάτων στον κόσμο. Η εταιρεία έγινε ιδιαίτερα γνωστή το 2021, όταν αγόρασε και μετονόμασε το γήπεδο του Los Angeles Staples Center σε «Crypto.com Arena» και ξεκίνησε μια σειρά τηλεοπτικών διαφημίσεων που προωθούν την υπηρεσία.

Η ομάδα hacking Lazarus διεξάγει μια καμπάνια με την ονομασία «Operation In(ter)ception» από το 2020, που στοχεύει άτομα που εργάζονται στη βιομηχανία κρυπτονομισμάτων.

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 6 hours ago

Στόχος της είναι να εξαπατήσει τα θύματά της να ανοίξουν κακόβουλα αρχεία που μολύνουν συστήματα με κακόβουλο λογισμικό που μπορεί να χρησιμοποιηθεί για την παραβίαση των εσωτερικών δικτύων εταιρειών κρύπτο για την κλοπή μεγάλων ποσοτήτων κρυπτονομισμάτων, NFT ή για κατασκοπεία.

Τον Αύγουστο του 2022, η Lazarus ανακαλύφθηκε ότι στοχεύει εργαζόμενους στον τομέα της πληροφορικής με κακόβουλες προσφορές εργασίας που υποδύονταν την Coinbase και στόχευαν χρήστες με κακόβουλο λογισμικό Windows ή κακόβουλο λογισμικό macOS.

Σε μια νέα αναφορά του Sentinel One, οι χάκερ έχουν πλέον στραφεί στο να μιμούνται το Crypto.com στις επιθέσεις phishing τους χρησιμοποιώντας το ίδιο κακόβουλο λογισμικό macOS που παρατηρήθηκε σε προηγούμενες καμπάνιες.

Δείτε ακόμα: Η πλατφόρμα cryptocurrencies deBridge Finance στοχοποιήθηκε από το Lazarus

Η Lazarus συνήθως προσεγγίζει τους στόχους μέσω του LinkedIn, στέλνοντάς τους ένα άμεσο μήνυμα για να τους ενημερώσει για μια επικερδή θέση εργασίας σε μια μεγάλη εταιρεία.

Crypto.com

Όπως και σε προηγούμενες καμπάνιες macOS, οι χάκερ έστειλαν ένα δυαδικό macOS που παρουσιάζεται ως PDF που περιέχει ένα αρχείο PDF 26 σελίδων με το όνομα “Crypto.com_Job_Opportunities_2022_confidential.pdf” που περιέχει υποτιθέμενες κενές θέσεις εργασίας στο Crypto.com.

Στο παρασκήνιο, το δυαδικό Mach-O δημιουργεί έναν φάκελο (“WifiPreference”) στον κατάλογο της Βιβλιοθήκης του χρήστη και ρίχνει τα αρχεία δεύτερου και τρίτου σταδίου.

Το δεύτερο στάδιο είναι το “WifiAnalyticsServ.app” και πρωταρχικός σκοπός του είναι να εξάγει και να εκτελέσει το δυαδικό τρίτου σταδίου, το οποίο με τη σειρά του λειτουργεί ως πρόγραμμα λήψης από έναν διακομιστή C2.

Οι ερευνητές ασφαλείας δεν μπόρεσαν να ανακτήσουν το τελικό ωφέλιμο φορτίο για ανάλυση, επειδή ο C2 ήταν εκτός σύνδεσης τη στιγμή της έρευνας.

Ωστόσο, παρατήρησαν χαρακτηριστικά που υποδεικνύουν μια βραχύβια λειτουργία, η οποία είναι τυπική για τις εκστρατείες «Operation In(ter) ception».

Τα δυαδικά αρχεία υπογράφονται με μια ad hoc υπογραφή, ώστε να μπορούν να περάσουν τους ελέγχους Apple Gatekeeper και να εκτελεστούν ως αξιόπιστο λογισμικό.

Δείτε επίσης: ΗΠΑ: Η ομάδα Lazarus χρησιμοποιεί κακόβουλα cryptocurrency apps

Πιθανότατα, η Lazarus σύντομα θα στραφεί στην πλαστοπροσωπία μιας διαφορετικής εταιρείας, ενώ θα διατηρήσει τα υπόλοιπα στοιχεία της επίθεσης σε μεγάλο βαθμό αμετάβλητα.

Εάν εργάζεστε σε μια εταιρεία κρυπτογράφησης, να είστε προσεκτικοί με τις αυτόκλητες προσφορές εργασίας στο LinkedIn, καθώς μια στιγμή απροσεξίας είναι αρκετή για να λειτουργήσει ως δούρειος ίππος για τον εργοδότη σας.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS