One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8557211 |
| Date de publication | 2024-08-13 19:40:03 (vue: 2024-08-13 20:18:11) |
| Titre | Double problème: Latrodectus et ACR Stealer ont observé la propagation via Google Authenticator Phishing Site Double Trouble: Latrodectus and ACR Stealer observed spreading via Google Authenticator Phishing Site |
| Texte | ## Instantané Les chercheurs de Cyble Research and Intelligence Lab (CRIL) ont découvert une campagne de phishing sophistiquée en utilisant un faux site Web de Fake Google Safety Center pour distribuer des logiciels malveillants déguisés en Google Authenticator. ## Description Le fichier malveillant installe deux types de logiciels malveillants, Latrodectus et ACR Stealer, conçus pour compromettre la sécurité et extraire des informations sensibles.ACR Stealer utilise Dead Drop Resolver (DDR) pour masquer ses détails de serveur de commande et de contrôle (C & C), tandis que Latrodectus montre des signes de développement actif pour échapper à la détection.Le site de phishing exploite la marque de Google \\ pour distribuer les logiciels malveillants, et l'ACR Stealer utilise également DDR pour masquer ses détails de serveur C&C dans des plates-formes légitimes comme le site Web de la communauté Steam. Cette campagne démontre les techniques d'adaptabilité et d'évasion des acteurs de la menace.De plus, une nouvelle variante de Latrodectus, version 1.3, a été identifiée par Walmart, Proofpoint et Elastic, montrant des améliorations de la fonctionnalité et des capacités, y compris le cryptage mis à jour et les nouvelles commandes. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: - Trojan: Win32 / Coinmin.wx - Trojan: Win32 / Coinmin.Aq - HackTool: Win32 / Autokms - Trojan: Win32 / Stealc.rpz ## RecommandationsMicrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. ## références [Double Trouble: Latrodectus et ACR Stealer ont observé la propagation via le site de phishing Google Authenticator] (https://cyble.com/blog/double-trouble-latrodectus-and-acr-tealer-observried-spreading-via-google-authenticator-phishing-site/).Cyble (consulté en 2024-08-13) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, san |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 365/security/defender access accessed acr action active actors adaptability additionally alert alerts all allow also antivirus any are artifacts attacker authenticator automated based behind block branding breach breaches c&c campaign can capabilities centre changes cloud com/blog/double com/en com/microsoft command commands community components compromise configure content control controlled copyright cover cril cyble ddr dead defender delivered demonstrates description designed details detect detected detection detections/hunting detects development disguised distribute distribution does double drop edr elastic employs enable enabled encryption endpoint endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhancements ensure equivalent evade evasion even evolving extract fake file folder folders following full functionality google hacktool:win32/autokms have hide https://cyble https://learn identified immediate impact including information installs intelligence investigation investigations its lab latrodectus learndoc learning legitimate leverages like machine majority malicious malware malware: manage microsoft microsoftrecommends mitigations mode network new non not observed ocid=magicti part passive permission phishing platforms post preferences product prohibited proofpoint protection protection#how protections queries rapidly recommendations reduce reducing references remediate remediation reproduction research researchers reserved resolve resolver rights rpz run running safety scenes security sensitive server settings showing shows significantly signs site site/ snapshot sophisticated spreading stealer steam take tamper techniques thereof threat threats tools trojan:win32/coinminer trojan:win32/stealc trouble trouble: turn two types uncovered unknown updated us/defender uses using variant version view=o365 volume walmart website when within without works worldwide written your |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.