Now Reading
Hinterhältiger neuer Klauer umwirbt Mitwirkender von Unternehmen durch gefälschte Zoom-Downloads

Hinterhältiger neuer Klauer umwirbt Mitwirkender von Unternehmen durch gefälschte Zoom-Downloads

Hinterhältiger neuer Dieb umwirbt Mitarbeiter von Unternehmen durch gefälschte Zoom-Downloads


Jenseits Website-Weiterleitungen von Google Ads, die sich denn Download-Sites z. Hd. beliebte Remote-Workforce-Software wie Zoom und AnyDesk zuteilen, schleicht sich ein hinterhältiger neuer Informationsdieb gen die Computer welcher Benutzer.

Bedrohungsakteure hinterm neuen Schadsoftware-Stamm „Rhadamanthys Stealer“, welcher im Dark Web im Rahmen eines Schadsoftware-as-a-Tafelgeschirr-Modells zugänglich ist, verwenden zwei Bereitstellungsmethoden, um ihre Payload zu verteilen, wie Forscher von Cyble in einem veröffentlichten Blogbeitrag enthüllten 12. Januar.

Einer ist durch sorgfältig gestaltete Phishing-Sites, die sich denn Download-Sites nicht nur z. Hd. Zoom, sondern gleichfalls z. Hd. AnyDesk, Notepad++ und Bluestacks zuteilen. Die andere ist durch typischere Phishing-E-Mails, die die Schadsoftware denn bösartigen Begleitung liefern, sagten die Forscher.

Beiderartig Bereitstellungsmethoden stellen eine Risiko z. Hd. dasjenige Unternehmen dar, da Phishing in Zusammensetzung mit menschlicher Leichtgläubigkeit von Seiten ahnungsloser Unternehmensmitarbeiter weiterhin ein erfolgreicher Weg z. Hd. Bedrohungsakteure ist, „um sich unbefugten Zugriff gen Unternehmensnetzwerke zu verschaffen, welches zu einem ernsthaften Problem geworden ist“, so sie sagte.

Tatsächlich ergab eine jährliche Umfrage von Verizon zu Datenschutzverletzungen, dass im Jahr 2021 etwa 82 % aller Verstöße Social Engineering in irgendwer Form betrafen, wodurch Bedrohungsakteure es in mehr denn 60 % welcher Fälle vorziehen, ihre Ziele per E-Mail-Dienst zu phishen.

„Sehr überzeugender“ Betrug

Die Forscher entdeckten eine Schlange von Phishing-Domains, die von den Angreifern erstellt wurden, um Rhadamanthys zu verteilen, von denen die meisten virtuell legitime Installationslinks z. Hd. die verschiedenen oben genannten Softwaremarken sind. Zu den schädlichen Sinister, die sie identifiziert nach sich ziehen, in Besitz sein von: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com und zoom-meetings-install[.]com.

„Die Bedrohungsakteure hinter dieser Kampagne … nach sich ziehen eine grenz… überzeugende Phishing-Webseite erstellt, die sich denn legitime Websites ausgibt, um Benutzer dazu zu können, die Stealer-Schadsoftware herunterzuladen, die böswillige Aktivitäten ausführt“, schrieben sie.

Wenn Benutzer den Köder schlucken, laden die Websites eine Installationsdatei herunter, die denn legitimes Installationsprogramm getarnt ist, um die entsprechenden Anwendungen herunterzuladen, und installieren den Klauer im Hintergrund, ohne dass welcher Benutzer es weiß, sagten die Forscher.

Im traditionelleren E-Mail-Dienst-Facette welcher Kampagne verwenden Angreifer Spam, dasjenige dasjenige typische Social-Engineering-Tool nutzt, um eine Priorität darzustellen, gen eine Nachricht mit einem finanziellen Themenkreis zu Position beziehen. Die E-Mails schenken vor, Kontoauszüge an Empfänger mit einer angehängten File „Statement.pdf“ zu senden, gen die sie klicken sollten, damit sie mit einer „sofortigen Auskunft“ Position beziehen können.

Wenn Leckermäulchen gen den Begleitung klickt, wird eine Meldung angezeigt, die besagt, dass es sich um verknüpfen „Adobe Acrobat DC Updater“ handelt, und enthält verknüpfen Download-Link mit welcher Bezeichnung „Update herunterladen“. Sowie dieser Link angeklickt wird, lädt er eine ausführbare Schadsoftware-File z. Hd. den Klauer von welcher URL herunter “https[:]zolotayavitrina[.]com/Jan-Erläuterung[.]exe” in den Downloads-Ordner des Opfercomputers, sagten die Forscher.

Sowie sie File vollzogen wurde, wird welcher Klauer eingesetzt, um vertrauliche Statistik wie den Browserverlauf und verschiedene Anmeldeinformationen z. Hd. Konten – einschließlich einer speziellen Technologie zum Überfall gen Krypto-Geldbörsen – vom Computer des Ziels zu stehlen, sagten sie.

Die Rhadamanthys-Nutzlast

Rhadamanthys verhält sich mehr oder weniger wie ein typischer Information-Stealer; Es hat jedoch manche einzigartige Merkmale, die Forscher identifiziert nach sich ziehen, denn sie seine Offenlegung gen dem Computer eines Opfers beobachteten.

Obwohl die anfänglichen Installationsdateien in verschleiertem Pythonschlange-Identifikationsnummer vorliegen, wird die letztendliche Nutzlast denn Shellcode in Form einer ausführbaren 32-Bit-File decodiert, die mit dem visuellen Kohlenstoff/Kohlenstoff++-Compiler von Microsoft kompiliert wurde, fanden die Forscher hervor.

Die erste Zusage des Shellcodes besteht darin, ein Mutex-Objekt zu erstellen, dasjenige sicherstellen soll, dass immer nur eine Kopie welcher Schadsoftware gen dem System des Opfers vollzogen wird. Es prüft gleichfalls, ob es gen einer virtuellen Maschine läuft, wohl um zu verhindern, dass welcher Klauer in einer virtuellen Umgebung entdeckt und analysiert wird, sagten die Forscher.

„Wenn die Schadsoftware erkennt, dass sie in einer kontrollierten Umgebung läuft, wird sie ihre Offenlegung verfertigen“, schrieben sie. “Andernfalls wird es weitermachen und die Stealer-Umtrieb wie beabsichtigt darlegen.”

Ebendiese Umtrieb umfasst dasjenige Zusammenschließen von Systeminformationen – wie Computername, Benutzername, Betriebssystemversion und andere Maschinendetails – durch Erklären einer Schlange von Abrufen welcher Windows-Verwaltungsinstrumentation (WMI). Darauf folgt eine Anfrage welcher Verzeichnisse welcher installierten Browser – darunter Brave, Edge, Chrome, Firefox, Opera Software und andere – gen dem Computer des Opfers, um den Browserverlauf, Lesezeichen, Cookies, automatische Ausfüllungen usw. zu suchen und zu stehlen Anmeldedaten.

Jener Klauer hat gleichfalls ein spezifisches Mandat, um gen verschiedene Krypto-Wallets abzuzielen, mit spezifischen Zielen wie Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap und anderen. Es stiehlt gleichfalls Statistik aus verschiedenen Krypto-Wallet-Browsererweiterungen, die in welcher Stealer-Binärdatei starr codiert sind, sagten die Forscher.

Andere Anwendungen, gen die Rhadamanthys abzielt, sind: FTP-Clients, E-Mail-Dienst-Clients, Dateimanager, Passwortmanager, VPN-Dienste und Messaging-Apps. Jener Klauer macht gleichfalls Screenshots von welcher Maschine des Opfers. Die Schadsoftware sendet schließlich nicht mehr da gestohlenen Statistik an den Command-and-Control-Server (C2) welcher Angreifer, sagten die Forscher.

Gefahren z. Hd. die Enterprise

Seit dem Zeitpunkt welcher weltweite Seuche ist die Unternehmensbelegschaft insgesamt geographisch stärker verstreut, welches einzigartige Sicherheitsherausforderungen mit sich bringt. Software-Tools, die Remote-Mitarbeitern die Zusammenarbeit vereinfachen – wie Zoom und AnyDesk – sind zu beliebten Zielen geworden, nicht nur z. Hd. App-spezifische Bedrohungen, sondern gleichfalls z. Hd. Social-Engineering-Kampagnen von Angreifern, die aus diesen Herausforderungen Kapital züchtigen wollen.

Und obwohl die meisten Unternehmensmitarbeiter es inzwischen besser wissen sollten, bleibt Phishing eine grenz… erfolgreiche Methode z. Hd. Angreifer, um in einem Unternehmensnetzwerk Standvorrichtung zu fassen, so die Forscher. Punktum diesem Grund empfehlen Cybel-Forscher allen Unternehmen, Sicherheitsprodukte zu verwenden, um Phishing-E-Mails und -Websites in ihrem gesamten Netzwerk zu wiedererkennen. Ebendiese sollten gleichfalls gen mobile Geräte ausgeweitet werden, die gen Unternehmensnetzwerke zupacken, sagten sie.

Unternehmen sollten ihre Mitwirkender mehr als die Gefahren des Öffnens von E-Mail-Dienst-Anhängen aus nicht vertrauenswürdigen Quellen sowie des Herunterladens von Raubkopien aus dem Web aufklären, so die Forscher. Sie sollten gleichfalls die Gewicht welcher Verwendung starker Passwörter unterstreichen und wo immer möglich eine Multifaktor-Authentifizierung erzwingen.

Schließlich rieten die Forscher von Cyble, dass Unternehmen denn allgemeine Faustregel URLs – wie Torrent/Warez-Sites – blockieren sollten, die zur Verbreitung von Schadsoftware verwendet werden können.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top