HomeSecurityΤο Emmenhtal Loader χρησιμοποιεί scripts για τη διάδοση του Lumma και άλλων...

Το Emmenhtal Loader χρησιμοποιεί scripts για τη διάδοση του Lumma και άλλων Malware

Οι εγκληματίες του κυβερνοχώρου αναζητούν συνεχώς τρόπους για να παρακάμψουν τον εντοπισμό τους. Μια από τις σημαντικές απειλές που παρακολουθούν στενά οι ειδικοί της κυβερνοασφάλειας είναι το Emmenhtal Loader.

Lumma Emmenhtal

Το Emmenhtal αξιοποιεί τεχνικές LOLBAS (Living Off the Land Binaries and Scripts) για να διανείμει διακριτικά κακόβουλο λογισμικό, καθιστώντας τη διαδικασία του εντοπισμού του εξαιρετικά δύσκολη.

Αναλυτές από το ANY.RUN έχουν εντοπίσει πολλά κακόβουλα στελέχη που διανέμονται μέσω της Emmenhtal, συμπεριλαμβανομένων των Arechclient2, Lumma, Hijackloader και Amadey — το καθένα μεταμφιεσμένο με ευφυΐα μέσω κακόβουλων scripts.

Διαβάστε σχετικά: GitHub: Σχόλια καταχρώνται και προωθούν το Lumma Stealer

Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη

SecNewsTV 63 minutes ago

#secnews #comet 

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnNKeGUwV1JxZUtV

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη

SecNewsTV 21 hours ago

Ας εξετάσουμε αυτήν την εκστρατεία πιο προσεκτικά, αποσυσκευάζοντας την αλυσίδα εκτέλεσης της Emmenhtal και αναζητώντας ασφαλείς τρόπους για να εντοπίσουμε τις δραστηριότητές της πριν προκαλέσουν βλάβη.

Τι είναι το Emmenhtal Loader;

Το Emmenhtal είναι ένας loader κακόβουλου λογισμικού που εμφανίστηκε στις αρχές του 2024 και είναι γνωστός για τις εξελιγμένες μεθόδους του στην ανάπτυξη διαφόρων κακόβουλων ωφέλιμων φορτίων, συμπεριλαμβανομένων των κλοπών πληροφοριών όπως το Lumma και το CryptBot.

Αξιοποιεί τεχνικές LOLBAS, χρησιμοποιώντας νόμιμα εργαλεία των Windows προκειμένου να αποφύγει τον εντοπισμό. Συχνά κρύβεται εντός τροποποιημένων νόμιμων δυαδικών αρχείων των Windows, ενσωματώνοντας κακόβουλα scripts που εκτελούνται σε πολλαπλά στάδια για να ληφθεί και να εκτελεστεί επιπλέον κακόβουλο λογισμικό.

Η αλυσίδα μόλυνσης του περιλαμβάνει συχνά τη χρήση αρχείων HTA (Εφαρμογή HTML) και PowerShell scripts, γεγονός που καθιστά δύσκολο τον εντοπισμό τους από τα παραδοσιακά μέτρα ασφαλείας.

Μπορείτε να ανακαλύψετε ποια scripts χρησιμοποιεί ο Emmenhtal Loader και τις λειτουργίες τους με τη βοήθεια εργαλείων όπως το Script Tracer του ANY.RUN.

Αλυσίδα εκτέλεσης Emmenhtal Loader

Για να κατανοήσουμε πώς λειτουργεί ο Emmenhtal Loader, μπορούμε να εξερευνήσουμε ένα πραγματικό δείγμα κακόβουλου λογισμικού σε ένα ασφαλές περιβάλλον όπως το διαδραστικό sandbox του ANY.RUN.

Δείτε ακόμη: Πλαστά σφάλματα Chrome οδηγούν στην εγκατάσταση malware

Σε αυτήν την περίπτωση, θα δούμε πιο προσεκτικά το δείγμα του Emmenhtal και πώς εκτελείται.

  1. Έναρξη αρχείου LNK:

Η επίθεση ξεκινά με ένα κακόβουλο αρχείο LNK που εκκινεί την εντολή forfiles. Αυτό το αρχείο έχει σχεδιαστεί για να φαίνεται ακίνδυνο, καθιστώντας το πιο πιθανό να εκτελεστεί από έναν χρήστη.

Μπορούμε να παρατηρήσουμε τη διαδικασία forfiles.exe στο διαδραστικό sandbox εξετάζοντας την ενότητα δέντρου διεργασιών στη δεξιά πλευρά της οθόνης.

  1. Το Forfiles εντοπίζει το HelpPane για την εκτέλεση του PowerShell:

Η εντολή forfiles χρησιμοποιείται για τον εντοπισμό του εκτελέσιμου αρχείου HelpPane. Αυτό το νόμιμο εργαλείο των Windows χρησιμοποιείται στη συνέχεια για την εκκίνηση του PowerShell, το οποίο ξεκινά το επόμενο βήμα στην αλυσίδα μόλυνσης.

  1. Το PowerShell καλεί το Mshta:

Στη συνέχεια, το PowerShell εκτελεί μια εντολή που καλεί το Mshta. Ο τελευταίος έχει εντολή να κατεβάσει ένα ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή. Αυτό το ωφέλιμο φορτίο κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης AES για να είναι πιο δύσκολο να εντοπιστεί και να αναλυθεί.

Διαβάστε ακόμη: FakeBat Loader malware: Διαδίδεται μέσω επιθέσεων Drive-by

  1. Το Mshta αποκρυπτογραφεί και εκτελεί ωφέλιμο φορτίο:

Το Mshta αποκρυπτογραφεί και εκτελεί το ληφθέν ωφέλιμο φορτίο. Αυτό το ωφέλιμο φορτίο περιέχει τις απαραίτητες οδηγίες για να προχωρήσετε στη διαδικασία μόλυνσης.

  1. Το PowerShell εκτελεί εντολή κρυπτογραφημένη με AES:

Το PowerShell εκτελεί μια εντολή κρυπτογραφημένη με AES για την αποκρυπτογράφηση του φορτωτή Emmenhtal. Αυτή η εντολή είναι ασαφής για να αποφευχθεί ο εντοπισμός από τα παραδοσιακά μέτρα ασφαλείας.

  1. Το Emmenhtal Loader εκκινεί το ωφέλιμο φορτίο:

Το τελικό PowerShell script είναι το Emmenhtal Loader, ο οποίος εκκινεί ένα ωφέλιμο φορτίο (συχνά Updater.exe) με ένα δυαδικό αρχείο με ένα όνομα που δημιουργήθηκε ως όρισμα. Αυτό το βήμα πραγματοποιεί τη μετάβαση από το πρόγραμμα φόρτωσης στο πραγματικό κακόβουλο λογισμικό.

Δείτε επίσης: Hackers καταχρώνται νόμιμα packer software για διανομή malware

  1. Το κακόβουλο λογισμικό μολύνει το σύστημα:

Το κακόβουλο λογισμικό μολύνει με επιτυχία το σύστημα, ολοκληρώνοντας την αλυσίδα εκτέλεσης. Σε αυτό το σημείο, το κακόβουλο λογισμικό μπορεί να πραγματοποιήσει τις επιδιωκόμενες κακόβουλες δραστηριότητές του, όπως η διείσδυση δεδομένων, η κλοπή διαπιστευτηρίων ή η εξασφάλιση επιμονής.

Στην έρευνα που πραγματοποιήθηκε από το ANY.RUN, το Emmenhtal Loader χρησιμοποίησε scripts για την παράδοση κακόβουλου λογισμικού, όπως τα Arechclient2, Lumma, Hijackloader και Amadey.

Πηγή: hackread

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS