ΑρχικήSecurityΚακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor

Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor

Μια κακόβουλη διαφημιστική καμπάνια αξιοποιεί εγκαταστάσεις με δημοφιλές trojanized λογισμικό, όπως το Google Chrome και το Microsoft Teams, για να εγκαταστήσει το Oyster Backdoor.

Oyster Backdoor

Σύμφωνα με τα ευρήματα της Rapid7, εντοπίστηκαν παρόμοιοι ιστότοποι που φιλοξενούν τα κακόβουλα ωφέλιμα φορτία, στα οποία ανακατευθύνονται οι χρήστες μέσω μηχανών αναζήτησης, όπως το Google και το Bing.

Διαβάστε σχετικά: Fickle malware: Χρησιμοποιεί PowerShell για παράκαμψη UAC και εξαγωγή δεδομένων

Οι παράγοντες απειλής παρασύρουν ανυποψίαστους χρήστες σε ψεύτικους ιστότοπους, οι οποίοι ισχυρίζονται ότι περιέχουν νόμιμο λογισμικό. Ωστόσο, η προσπάθεια λήψης του αρχείου εγκατάστασης ξεκινά μια μόλυνση μέσω κακόβουλου λογισμικού. Συγκεκριμένα, το αρχείο αυτό χρησιμεύει ως διαδρομή για το Oyster backdoor, η οποία είναι ικανή να συλλέγει πληροφορίες για τον παραβιασμένο κεντρικό υπολογιστή, να επικοινωνεί με μια hard-coded command-and-control (C2) διεύθυνση, και να υποστηρίζει απομακρυσμένη εκτέλεση κώδικα.

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV3 hours ago

Παρόλο που το Oyster backdoor έχει παρατηρηθεί στο παρελθόν να διανέμεται μέσω ενός αποκλειστικού loader στοιχείου, γνωστού ως Broomstick Loader (ή Oyster Installer), οι πιο πρόσφατες αλυσίδες επίθεσης συνεπάγονται την άμεση εγκατάσταση του backdoor. Το κακόβουλο λογισμικό φαίνεται να σχετίζεται με την ITG23, μια ομάδα που συνδέεται με τη Ρωσία και βρίσκεται πίσω από το κακόβουλο λογισμικό TrickBot.

Μετά την εκτέλεση του κακόβουλου λογισμικού, ακολουθεί η εγκατάσταση του νόμιμου λογισμικού Microsoft Teams, σε μια προσπάθεια να συνεχιστεί η παραπλάνηση. Η Rapid7 ανέφερε επίσης ότι το κακόβουλο λογισμικό χρησιμοποιείται για τη δημιουργία ενός σεναρίου PowerShell, το οποίο διασφαλίζει τη διατήρησή του στο σύστημα.

Δείτε ακόμη: Hackers εκμεταλλεύονται νόμιμα sites για τη διανομή του BadSpace Windows Backdoor

Μια εγκληματική ομάδα στον κυβερνοχώρο γνωστή ως Rogue Raticate (ή RATicate) αποδίδεται πίσω από μια phishing εκστρατεία που χρησιμοποιεί PDF δολώματα για να πείσει τους χρήστες να κάνουν κλικ σε μια κακόβουλη διεύθυνση URL και να εγκαταστήσουν το NetSupport RAT.

“Εάν ένας χρήστης εξαπατηθεί επιτυχώς και κάνει κλικ στη διεύθυνση URL, μέσω ενός Συστήματος Διανομής Κυκλοφορίας (TDS) θα οδηγηθεί στην υπόλοιπη αλυσίδα και τελικά το Εργαλείο Απομακρυσμένης Πρόσβασης NetSupport θα εγκατασταθεί στον υπολογιστή του,” δήλωσε η Symantec.

Παράλληλα, εμφανίστηκε μια νέα πλατφόρμα phishing-as-a-service (PhaaS) ονόματι ONNX Store, η οποία επιτρέπει στους πελάτες να ενορχηστρώνουν καμπάνιες phishing χρησιμοποιώντας ενσωματωμένους κωδικούς QR σε συνημμένα PDF που οδηγούν τα θύματα σε σελίδες συλλογής διαπιστευτηρίων.

Το ONNX Store, το οποίο προσφέρει επίσης αλεξίσφαιρες υπηρεσίες φιλοξενίας και RDP μέσω ενός ρομπότ Telegram, πιστεύεται ότι είναι μια ανανεωμένη έκδοση του κιτ phishing Caffeine, το οποίο τεκμηριώθηκε για πρώτη φορά από την Mandiant της Google τον Οκτώβριο του 2022. Η υπηρεσία διαχειρίζεται από έναν απειλητικό παράγοντα που μιλάει αραβικά και είναι γνωστός με το όνομα MRxC0DER.

Εκτός από τη χρήση των μηχανισμών anti-bot της Cloudflare για την αποφυγή εντοπισμού από σαρωτές ιστότοπων phishing, οι διευθύνσεις URL που διανέμονται μέσω των καμπανιών quishing είναι ενσωματωμένες με κρυπτογραφημένο JavaScript. Αυτή αποκωδικοποιείται κατά τη φόρτωση της σελίδας, συλλέγοντας metadata δικτύου από τα θύματα και αναμεταδίδοντας διακριτικά 2FA.

Oyster Backdoor

Διαβάστε επίσης: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία

“Το ONNX Store διαθέτει έναν μηχανισμό παράκαμψης ελέγχου ταυτότητας δύο παραγόντων (2FA)“, ανέφερε ο ερευνητής του EclecticIQ, Arda Büyükkaya. “Οι σελίδες phishing μοιάζουν με αυθεντικές διεπαφές σύνδεσης του Microsoft 365, εξαπατώντας τους χρήστες να εισάγουν τα στοιχεία ελέγχου ταυτότητας τους.”

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS