ΑρχικήSecurityΧάκερ νοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking...

Χάκερ νοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking trojan

Κυβερνοεγκληματίες ενοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking trojan.

WikiLoader

Ιταλικές οργανώσεις είναι στόχος μιας νέας επίθεσης phishing που εκμεταλλεύεται ένα νέο είδος κακόβουλου λογισμικού με το όνομα WikiLoader, με στόχο να εγκαταστήσει ένα banking trojan, έναν stealer και spyware με το όνομα Ursnif (επίσης γνωστό ως Gozi).

Το WikiLoader ονομάζεται έτσι λόγω του malware που υποβάλλει αίτημα στη Wikipedia και ελέγχει ότι η απάντηση έχει το string “The Free”.

Η εταιρεία ασφαλείας για επιχειρήσεις ανέφερε ότι ανιχνεύθηκε για πρώτη φορά το κακόβουλο λογισμικό στις 27 Δεκεμβρίου 2022, σε σχέση με μια εισβολή που πραγματοποιήθηκε από έναν δράστη που ονομάζεται TA544, επίσης γνωστός ως Bamboo Spider και Zeus Panda.

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 28 minutes ago

Οι καμπάνιες επικεντρώνονται στη χρήση ηλεκτρονικών μηνυμάτων που περιέχουν είτε τα Microsoft Excel, Microsoft OneNote είτε τα αρχεία PDF που λειτουργούν ως δέλεαρ για την εγκατάσταση του downloader, ο οποίος χρησιμοποιείται στη συνέχεια για την εγκατάσταση του Ursnif.

Σε ένδειξη ότι το WikiLoader κοινοποιείται ανάμεσα σε πολλές ομάδες κυβερνοεγκληματιών, ο απειλούμενος παράγοντας με το ψευδώνυμο TA551 (επίσης γνωστός ως Shathak) έχει παρατηρηθεί να χρησιμοποιεί το malware από τα τέλη Μαρτίου 2023.

Πρόσφατες επιθέσεις του απειλητικού παράγοντα TA544 που εντοπίστηκαν τον Ιούλιο του 2023, έχουν χρησιμοποιήσει θέματα λογιστικής για να διαδώσουν συνημμένα αρχεία PDF με URLs που, όταν κάνεις κλικ, οδηγούν στην παράδοση ενός αρχείου ZIP, το οποίο, αντίστοιχα, περιέχει ένα αρχείο JavaScript που σχεδιάστηκε για να κατεβάσει και να εκτελέσει το WikiLoader.

Το WikiLoader είναι ένα πολύ περίπλοκο πρόγραμμα, το οποίο κάνει ελιγμούς για να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας των τερματικών σημείων και να αποφεύγει την ενεργοποίηση σε αυτόματα περιβάλλοντα ανάλυσης. Επιπλέον, έχει σχεδιαστεί έτσι ώστε να ανακτά και να εκτελεί ένα φορτίο shellcode που φιλοξενείται στο Discord, το οποίο τελικά χρησιμοποιείται για να ξεκινήσει το Ursnif.

“Αυτή τη στιγμή βρίσκεται υπό ενεργό ανάπτυξη και οι συντάκτες του φαίνεται να κάνουν τακτικές αλλαγές για να προσπαθούν να παραμείνουν απαρατήρητοι”, δήλωσε η Selena Larson, ανώτερη αναλύτρια πληροφοριών απειλών στην Proofpoint.

“Είναι πιθανό ότι περισσότεροι εγκληματικοί παράγοντες θα το χρησιμοποιήσουν, ειδικά αυτοί που είναι γνωστοί ως initial access brokers (IABs) που διεξάγουν τακτική δραστηριότητα που οδηγεί σε ransomware. Οι defenders θα πρέπει να γνωρίζουν αυτό το νέο κακόβουλο λογισμικό και τις δραστηριότητες που εμπλέκονται στην παράδοση ωφέλιμου φορτίου και να λάβουν μέτρα για να προστατεύουν τις οργανώσεις τους από το exploitation».

Πηγή πληροφοριών: thehackernews.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS