One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8472745 |
| Date de publication | 2024-03-29 19:00:47 (vue: 2024-03-29 20:10:17) |
| Titre | New Go Loader pousse le voleur de Rhadamanthys New Go Loader Pushes Rhadamanthys Stealer |
| Texte | #### Description
Une nouvelle campagne de malvertising a été découverte qui utilise un chargeur de langage Go pour déployer le voleur de Rhadamanthys.
L'acteur de menace a acheté une annonce qui apparaît en haut des résultats de la recherche Google, affirmant être la page d'accueil du mastic.L'URL AD indique un domaine contrôlé par l'attaquant où il peut montrer une page légitime aux visiteurs qui ne sont pas de vraies victimes.Les vraies victimes venant des États-Unis seront redirigées vers un faux site qui ressemble exactement à Putty.org.La charge utile malveillante est téléchargée via une chaîne de redirection en deux étapes, et le serveur est censé effectuer des vérifications pour les procurations tout en enregistrant l'adresse IP de la victime.Lors de l'exécution du compte-gouttes, il y a une vérification IP pour l'adresse IP publique de la victime.Si une correspondance est trouvée, le compte-gouttes procède à la récupération d'une charge utile de suivi d'un autre serveur.La charge utile est Rhadamanthys, qui est exécuté par le processus parent putty.exe.Le chargeur est étroitement lié à l'infrastructure de malvertisation, et il est très probable que le même acteur de menace contrôle les deux.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys
#### Date de publication
22 mars 2024
#### Auteurs)
J & eacute; r & ocirc; moi segura
#### Description A new malvertising campaign has been discovered that uses a Go language loader to deploy the Rhadamanthys stealer. The threat actor purchased an ad that appears at the top of Google search results, claiming to be the PuTTY homepage. The ad URL points to an attacker-controlled domain where they can show a legitimate page to visitors that are not real victims. Real victims coming from the US will be redirected to a fake site that looks and feels exactly like putty.org. The malicious payload is downloaded via a two-step redirection chain, and the server is believed to perform some checks for proxies while also logging the victim\'s IP address. Upon executing the dropper, there is an IP check for the victim\'s public IP address. If a match is found, the dropper proceeds to retrieve a follow-up payload from another server. The payload is Rhadamanthys, which is executed by the parent process PuTTy.exe. The loader is closely tied to the malvertising infrastructure, and it is quite likely that the same threat actor is controlling both. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys #### Publication Date March 22, 2024 #### Author(s) Jérôme Segura |
| Envoyé | Oui |
| Condensat | #### 2024 actor address also another appears are attacker author been believed both campaign can chain check checks claiming closely com/blog/threat coming controlled controlling date deploy description discovered domain downloaded dropper exactly exe executed executing fake feels follow found from google has homepage https://www infrastructure intelligence/2024/03/new jérôme language legitimate like likely loader logging looks malicious malvertising malwarebytes march match new not org page parent payload perform points proceeds process proxies public publication purchased pushes putty quite real redirected redirection reference results retrieve rhadamanthys same search segura server show site some stealer step threat tied top two upon url uses victim victims visitors where which will |
| Tags | Threat |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.