ΑρχικήSecurityΤο BundleBot malware κλέβει ευαίσθητες πληροφορίες

Το BundleBot malware κλέβει ευαίσθητες πληροφορίες

Ένα νέο στέλεχος κακόβουλου λογισμικού με την ονομασία BundleBot λειτουργεί εκμεταλλευόμενο τις τεχνικές ανάπτυξης ενός αρχείου .NET και επιτρέποντας στους απειλητικούς φορείς να κλέβουν ευαίσθητες πληροφορίες από μολυσμένους υπολογιστές.

Δείτε επίσης: Roblox: Προηγούμενη παραβίαση δεδομένων εξέθεσε στοιχεία 4000 χρηστών

Ορισμένοι από αυτούς τους ιστότοπους στοχεύουν να μιμηθούν το Google Assistant, το ρομπότ τεχνητής νοημοσύνης της εταιρείας, παρασύροντας τα θύματα να κατεβάσουν ένα ψεύτικο αρχείο RAR (“Google_AI.rar”) που φιλοξενείται σε νόμιμες υπηρεσίες αποθήκευσης cloud, όπως το Dropbox.

Το αρχείο αρχειοθέτησης, όταν αποσυμπιέζεται, περιέχει ένα εκτελέσιμο αρχείο (“GoogleAI.exe”), το οποίο είναι μια αυτοτελής εφαρμογή .NET ενός αρχείου, η οποία, με τη σειρά της, ενσωματώνει ένα αρχείο DLL (“GoogleAI.dll”) που είναι υπεύθυνο για την ανάκτηση ενός αρχείου ZIP προστατευμένου με κωδικό πρόσβασης από το Google Drive.

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV19 Ιουλίου 2024, 22:37 22:37

Δείτε επίσης: Εντοπίστηκαν δύο κρίσιμες ευπάθειες AMI MegaRAC

Το περιεχόμενο του αρχείου ZIP (“ADSNEW-1.0.0.3.zip”) που εξάγεται είναι μια άλλη αυτοτελής εφαρμογή .NET ενός αρχείου (“RiotClientServices.exe”) που ενσωματώνει το payload BundleBot (“RiotClientServices.dll”) και έναν serializer δεδομένων πακέτων εντολών και ελέγχου (C2) (“LibrarySharing.dll”).

Τα binary artifacts χρησιμοποιούν ειδικά κατασκευασμένο obfuscation και junk code σε μια προσπάθεια να αντισταθούν στην ανάλυση και διαθέτουν δυνατότητες για την απόσπαση δεδομένων από προγράμματα περιήγησης στο διαδίκτυο, τη λήψη screenshot, την κλοπή Discord token, πληροφοριών από το Telegram και στοιχείων λογαριασμού στο Facebook.

Η Check Point ανέφερε ότι εντόπισε και ένα δεύτερο δείγμα BundleBot που είναι σχεδόν πανομοιότυπο σε όλες τις πτυχές, εκτός από τη χρήση του HTTPS για τη διαρροή των πληροφοριών σε έναν απομακρυσμένο server με τη μορφή αρχείου ZIP.

Η εξέλιξη αυτή έρχεται καθώς η Malwarebytes αποκάλυψε μια νέα εκστρατεία που χρησιμοποιεί χορηγούμενες αναρτήσεις και έχει παραβιάσει επαληθευμένους λογαριασμούς, οι οποίοι υποδύονται τον Facebook Ads Manager για να παρασύρουν τους χρήστες να κατεβάσουν αθέμιτες επεκτάσεις του Google Chrome που έχουν σχεδιαστεί για να υποκλέψουν πληροφορίες σύνδεσης στο Facebook.

Οι χρήστες που κάνουν κλικ στον ενσωματωμένο σύνδεσμο καλούνται να κατεβάσουν ένα αρχείο αρχειοθέτησης RAR που περιέχει ένα αρχείο εγκατάστασης MSI το οποίο, με τη σειρά του, εκκινεί ένα batch script για τη δημιουργία ενός νέου παραθύρου του Google Chrome με την κακόβουλη επέκταση που φορτώνεται χρησιμοποιώντας το flag “–load-extension”.

Τα δεδομένα που συλλαμβάνονται αποστέλλονται στη συνέχεια μέσω του API του Google Analytics για να παρακάμψουν τις πολιτικές ασφαλείας περιεχομένου (CSPs) για τον μετριασμό των επιθέσεων Cross-Site Scripting (XSS) και data injection.

Δείτε επίσης: Mallox ransomware εκμεταλλεύεται αδύναμους MS-SQL servers για να παραβιάσει δίκτυα

Οι απειλητικοί παράγοντες πίσω από τη δραστηριότητα πιθανολογείται ότι είναι βιετναμέζικης καταγωγής και έχουν επιδείξει έντονο ενδιαφέρον για τη στόχευση επιχειρηματικών και διαφημιστικών λογαριασμών στο Facebook τους τελευταίους μήνες. Πάνω από 800 θύματα παγκοσμίως, συμπεριλαμβανομένων 310 στις ΗΠΑ, έχουν επηρεαστεί.

Πηγή πληροφοριών: thehackernews.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS