One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8543708 |
| Date de publication | 2024-07-24 21:16:52 (vue: 2024-07-24 22:07:56) |
| Titre | Distribution of AsyncRAT Disguised as Ebook |
| Texte | ## Instantané Les recherches à l'AHNLAB Security Intelligence Center (ASEC) ont identifié une nouvelle méthode de distribution de logiciels malveillants asyncrat à travers des livres électroniques armés. ## Description Ces livres électroniques, qui semblent inoffensifs, contiennent une icône frauduleuse qui indique un fichier LNK avec un code malveillant.De plus, il existe un fichier TXT avec un script PowerShell caché, des fichiers vidéo compressés et un ebook réel.Lorsque le fichier LNK est exécuté, il déclenche le script PowerShell caché dans le fichier RM.TXT, qui cache ensuite le dossier de logiciel malveillant du téléchargeur et exécute un script obscurci.Ce script peut lancer le vrai malware à partir de faux fichiers vidéo s'il détecte certains produits de sécurité.La charge utile asyncrat est conçue avec des mécanismes anti-détection, de la persistance et des capacités d'exfiltration des données.Il est distribué par diverses méthodes, y compris des fichiers déguisés sur les sites de partage et les e-mails de phishing, ce qui en fait une menace polyvalente et dangereuse.Le malware se précipita comme des processus légitimes et utilise des techniques d'obscurcissement pour échapper à la détection. L'asyncrat n'est pas le seul logiciel malveillant du voleur d'informations observé dans les livres électroniques.Comme asyncrat, [vipersoftx] (https://security.microsoft.com/intel-explorer/articles/8084ff7b) et [cve-2024-38112] (https://www.trendmicro.com/en_us/research/24/G / CVE-2024-38112-VOID-BANSHEE.HTML # NEW_TAB) Utilisez PowerShell pour exfiltrer les données et éviter la détection. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-senceclopedia-description? Name = Trojan: win32 / winlnk) - [Trojan: Msil / Agenttesla] (https://www.microsoft.com/en-us/wdsi/Therets/malware-secdcopedia-description? name = trojan: MSIL / AgentTesla) - [Backdoor: Msil / asyncrat.ad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:mil/asyncrat.ad) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/en-us/defenderofice-365/mdo-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre de nouvelles menaces et des variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=magicti_ta_learndoc) et [supprimer le courrier envoyé] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge?ocid=Magicti_TA_LearnDoc) en réponse à l'intelligence de menace nouvellement acquise. - Allumez [les pièces jointes sûres] (https://learn.microsoft.com/en-us/defender-office-365/safe-attachments-policies-configure?ocid=Magicti_ta_learndoc) pour vérifier les pièces jointes vers le courrier électronique déstant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftLe dé |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 365 365/mdo 365/safe 365/zero 38112 38112: about accessed accounts actual additionally advice: against age ahnlab all anti antivirus any app appear apps are article asec asyncrat attachments attack attacker attacks authentication authenticator auto autoit avoid backdoor:msil/asyncrat banshee based block blocks browser browsers bullet can capabilities card center certain check classes click clicking cloud clr code com/en com/en/67861/ com/intel common components compressed conceals configure contain content copyright cover coverage credential credentials criterion customers cve dangerous data day defender delete delivered deployment description designed detection detections/hunting detects devices different disguised distributed distributing distribution downloader due ebook ebooks edge email emails employees employs enable enabled encourage encyclopedia endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce enhanced ensure enterprise entire equivalent evade even evolving example excluded executable executed execution exfiltrate exfiltration exploiting explorer explorer/articles/8084ff7b fake features fido file files filtering first folder following fraudulent from group guidance harmless have hello hidden host hour html#new https://asec https://learn https://security https://www icon identified identifies identity impact inbound including indicates infections information infostealer infostealers initiate intelligence internet intrusions keys learndoc learndoc#block learning legitimate like links list lnk locations machine mail majority making malicious malware malware: managed many masquerades match mechanics mechanisms meet method methods mfa microsoft mitigation mitigations mode monitored more name=backdoor:msil/asyncrat name=trojan:msil/agenttesla name=trojan:win32/winlnk new newlyacquired not number obfuscated obfuscation observed ocid=magicti off offer office only organizations other overview part password passwordless passwords payload permission persistence personal phishing phones points policies policy polymorphic possible potentially powershell prevalence prevent processes product products profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776 prohibited prompt protection protection/howto protections pua purge queries ransomware rapidly real recheck recommendations recommends reduce reduction refer reference references remind remove reproduction require requires researches reserved response rights rules running runs safe scam script scripts secured security sent settings sharing should sight site sites smartscreen snapshot spam specific spoofed status stealer stealthy stop stored strictly succeeded support surface sweeping sync#sync syncing tab targets techniques theft then thereof these threat threats through times tools trend trendmicro triggers trojan:msil/agenttesla trojan:win32/winlnk trusted turn txt typed unknown unless unwanted us/defender us/deployedge/microsoft us/entra/id us/entra/identity/authentication/concept us/entra/identity/authentication/how us/research/24/g/cve us/wdsi/threats/malware use used users uses using variants various vaults versatile video vipersoftx vipersoftx: void weaponized web websites when where which windows within without workplace written your zero zombie “yes” |
| Tags | Ransomware Spam Malware Tool Vulnerability Threat Prediction |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.