One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8556610 |
| Date de publication | 2024-08-12 21:53:46 (vue: 2024-08-12 22:18:08) |
| Titre | Démasking Cronus: Comment les faux documents PayPal offrent des ransomwares sans fil via PowerShell Unmasking Cronus: How Fake PayPal Documents Deliver Fileless Ransomware via PowerShell |
| Texte | ## Instantané
Des chercheurs de Seqrite Labs ont identifié plusieurs campagnes impliquant de faux leurres paypal ciblant les individus dans le monde avec une nouvelle variante de ransomwares appelée Cronus.
## Description
Le ransomware, développé dans PowerShell, est exécuté directement en mémoire sans écrire de contenu malveillant sur disque.L'infection initiale a été causée par un document de mots malveillant réparti via un vecteur de phishing, qui visait à imiter un document de réception appelé PayPal \ _Charges.doc.Le VBA malveillant dans le document a téléchargé un chargeur basé sur PowerShell de deuxième étape, qui a chargé la DLL basée sur les ransomwares en utilisant le chargement réfléchissant.Le script PowerShell a été fortement obscurci avec du code indésirable, et la dernière étape impliquait des assemblages .NET malveillants contenant le ransomware.Cette campagne sophistiquée démontre l'échéance de l'acteur de menace et l'utilisation de techniques avancées pour déployer des ransomwares.L'attaque implique une approche en plusieurs étapes, y compris un chargeur de powershell malveillant, une charge utile déguisée au deuxième étage et une charge utile de ransomware qui cible des types de fichiers spécifiques pour le cryptage, démontrant les techniques avancées de l'acteur de menace.
## Analyse supplémentaire
Ransomware sans fidèle présente un défi important pour les équipes de sécurité en raison de sa capacité à échapper aux méthodes de détection traditionnelles.Contrairement aux logiciels malveillants conventionnels, les ransomwares sans fil ne reposent pas sur des fichiers stockés sur un disque dur, ce qui rend difficile le détection d'antivirus, de sable et d'analyse basé sur l'apprentissage automatique.
Ce type de ransomware opère souvent dans des programmes de confiance et légitimes comme PowerShell ou Windows Scripting Tools, en les tirant parti des activités malveillantes sans laisser de trace sur le disque.En exploitant la fiducie placée dans ces applications de liste blanche, les ransomwares sans fil peuvent se déplacer latéralement sur les réseaux, éviter les soupçons et rester non détectés pendant de longues périodes.Ce comportement furtif le rend particulièrement insidieux et efficace, permettant aux attaquants de maintenir la persistance et d'exécuter leurs objectifs tout en contournant la plupart des défenses de sécurité.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [Trojan: O97M / ENCDOC] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:o97m/encdoc!mtb)
## références
[Unmasking Cronus: comment les faux documents PayPal offrent des ransomwares sans fil via PowerShell] (https://www.seqrite.com/blog/unmasking-cronus-how-fake-paypal-documents-deliver-filless-ransomware-via-powershell/).Seqrite (consulté en 2024-08-12)
[MALWOWSELTESSELES ENFAIRES] (https://www.xcitium.com/fileless-maLware/).xcitium (consulté en 2024-08-12)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Seqrite Labs identified multiple campaigns involving fake PayPal lures targeting individuals globally with a new variant of ransomware called Cronus. ## Description The ransomware, developed in PowerShell, is executed directly in memory without writing any malicious content to disk. The initial infection was caused by a malicious Word document spread through a phishing vector, which aimed to mimic a receipt document known as paypal\_charges.doc. The malicious VBA in the document downloaded a second-stage PowerShell-based loader, which loaded the ransomware-based DLL using reflective loading |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** ability accessed across activities actor additional advanced aimed all allowing analysis antivirus any applications approach assemblies attack attackers avoid based behavior bypassing called campaign campaigns can carry caused challenge charges code com/blog/unmasking com/en com/fileless components containing content conventional copyright cronus cronus: defender defenses deliver demonstrates demonstrating deploy description detect detection detections/hunting detects developed difficult directly disguised disk distribution dll doc document documents doesn downloaded drive due effective encryption encyclopedia evade execute executed exploiting extended fake file fileless files final following globally hard heavily how https://www identified including individuals infection initial insidious involved involves involving its junk known labs laterally learning leaving legitimate leveraging like loaded loader loading lures machine maintain makes making malicious malware malware/ malware: maturity memory methods microsoft mimic most move mtb multi multiple name=trojan:o97m/encdoc net networks new obfuscated objectives often operates out part particularly payload paypal periods permission persistence phishing placed powershell powershell/ presents programs prohibited queries ransomware receipt references reflective rely remain reproduction researchers reserved rights sandboxing script scripting second security seqrite signature significant site snapshot sophisticated specific spread stage stealthy stored suspicion targeting targets teams techniques them thereof these threat through tools trace traditional trojan:o97m/encdoc trust trusted type types undetected unlike unmasking us/wdsi/threats/malware use using variant vba vector which whitelisted windows within without word writing written xcitium |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.