One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8583097 |
| Date de publication | 2024-09-20 20:21:34 (vue: 2024-09-23 16:18:15) |
| Titre | Injecteur conduisant à des voléeurs Go Injector Leading to Stealers |
| Texte | ## Instantané En août 2024, l'unité de réponse aux menaces d'Esentire (TRU) a observé une attaque d'injecteur GO qui a tenté de déployer Lummma Stealer, un malware de vol de l'information. ## Description [Lumma Stealer] (https://security.microsoft.com/intel-profiles/3393357882548511C30B0728DDD3C4F8B5CA20E41C285A56F796EB39F57531AD), Active depuis August, Données sensibles, et est proposée comme un malware comme-Service (Maas) sur les forums russes.La chaîne d'attaque a commencé lorsqu'un utilisateur a été amené à exécuter une commande PowerShell codée par Base64 via une fausse page CAPTCHA, conduisant au téléchargement d'un fichier malveillant.Ce fichier, déguisé en une application légitime, a été analysé et s'est avéré contenir l'injecteur GO, un programme d'injection de logiciels malveillants écrite en Go. L'injecteur GO a injecté le module de voleur Lumma dans un processus bitlockertogo.exe suspendu à l'aide d'un processus en 3 étapes.La charge utile a été déchiffrée à l'aide d'AES GCM, révélant les chaînes typiques de type Base64 du voleur de Lumma \\ et ses domaines de commande et de contrôle (C2).ESENTIRE note que l'incident peut suggérer un modèle de service de paiement à la perception (PPI), car une campagne similaire a été observée en train de livrer un autre logiciel malveillant, Stealc. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et strictement[Exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-potection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui néc |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 2022 2024 2024** 2147078266 2147117932 2fa 365 365/security/defender 365/security/office about accessed accounts acquired active activity advice: aes against age alerts all analyzed another antivirus any app application apps are article associated attachments attack attacker attempted august authentication authenticator auto base64 based began bitlockertogo block blocks browser browsers bullet campaign can captcha card chain check classes click clicking cloud code com/azure/active com/blog/go com/deployedge/microsoft com/en com/intel com/microsoft command common components configure contain content control copyright cover coverage credential credentials criterion cryptocurrency customers data decrypted defender delete delivered delivering deploy deployment description detects devices different directory/authentication/concept directory/authentication/how directory/identity disguised distribution domains download due edge email emails employees enable enabled encoded encourage encyclopedia endpoint endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce enhanced ensure enterprise entire equivalent esentire even evolving example excluded exe executable execution extensions fake features fido file files filtering first following forums found from gcm group guidance hello host hour however https://learn https://security https://www identifies identity impact inbound incident including indicate infections information infostealer infostealers injected injection injector install intelligence intrusions its keys leading learndoc learndoc#block learning legitimate like links list locations lumma maas machine mail majority malicious malware malware: managed many match may meet methods mfa microsoft might mitigation mitigations mode model module monitored more msr&threatid= mtb mtb&threatid= name=pws:win32/lumma name=trojan:win32/lummacstealer name=trojan:win32/lummastealer name=trojan:win32/phonzy new newly not notes number obfuscated observed ocid=magicti off offer offered office organizations other overview page part password passwordless passwords pay payload per permission personal phishing phones points policies policy polymorphic possible potentially powershell ppi prevalence prevent primarily process product profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad program prohibited prompt protection protection/howto protections pua purge pws:win32/lumma ransomware rapidly recheck recommendations recommends reduce reduction refer reference references remind remove reproduction require requires reserved response revealing rights rules running russian safe scam scripts secured security/defender security/safe security/zero sensitive sent service settings should sight similar since site sites smartscreen snapshot spam specific spoofed status stealc stealer stealers stealing step stop stored strictly strings succeeded suggest support surface suspended sweeping sync#sync syncing targets techniques theft thereof these threat threats through times tools tricked triggered trojan:win32/lummacstealer trojan:win32/lummastealer trojan:win32/phonzy tru trusted turn typed typical unit unknown unless unrelated unwanted us/wdsi/threats/malware use used user users uses using variants vaults wallets web websites when where which windows without workplace written your “yes” |
| Tags | Ransomware Spam Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-09-24 16:49:49 | (Déjà vu) Security Brief: Actor Uses Compromised Accounts, Customized Social Engineering to Target Transport and Logistics Firms with Malware (lien direct) | #### Géolocations ciblées - Amérique du Nord #### Industries ciblées - Systèmes de transport ## Instantané Les chercheurs de ProofPoint ont identifié une campagne de cyberattaques ayant un impact sur les sociétés de transport et de logistique en Amérique du Nord. ## Description Les attaquants utilisent des comptes de messagerie légitimes compromis de ces industries, injectant des logiciels malveillants dans des conversations par e-mail en cours pour rendre les messages malveillants authentiques.Cette campagne, active depuis mai 2024, initialementlivré des logiciels malveillants comme [Lumma Stealer] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728d3c4f8b5ca20e41c285a56f796eb39f57531ad),,,Stealc et NetSupport.En août 2024, l'acteur de menace a changé de tactique en modifiant les infrastructures et en ajoutant de nouveaux logiciels malveillants tels que [Danabot] (https://security.microsoft.com/intel-profiles/a75af575e02d54320f68f9632df224a0e5fa117e406caebaba311ac0a1eaecf6) et. Les attaquants utilisent généralement les URL de Drive Google ou les pièces jointes .url pour installer des logiciels malveillants via des partages SMB.En août, ils ont introduit une technique «Clickfix», incitant les utilisateurs à exécuter un script PowerShell codé Base64.La campagne a spécifiquement issu des logiciels liés aux transports tels que Samsara et Astra TMS. Proofpoint n'attribue pas cette activité à un acteur de menace connu, mais pense que les attaquants sont des cybercriminels motivés financièrement.Ils utilisent des leurres de plus en plus réalistes et des comptes de messagerie compromis pour améliorer la probabilité de succès, augmentant le risque d'infections de logiciels malveillants pour les organisations ciblées. ## Analyse Microsoft Ces dernières années, Microsoft a suivi la croissancerisque que [les infostellers] (https://security.microsoft.com/intel-profiles/byexternalid/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6)Sécurité nterprise.Les infostateurs sont des logiciels malveillants de marchandises utilisés pour voler des informations à un appareil cible et l'envoyer à l'acteur de menace.La popularité de cette classe de logiciels malveillants a conduit à l'émergence d'un écosystème d'infosteller et à une nouvelle classe d'acteurs de menace qui a exploité ces capacités pour mener leurs attaques.Souvent, les infostelleurs sont annoncés comme un logiciel malveillant en tant que service (MAAS) offrant & # 8211;Un modèle d'entreprise où les développeurs louent la charge utile de l'infostealer aux distributeurs moyennant des frais. [Lumma Stealer] (https://security.microsoft.com/intel-profiles/3393357882548511c30b0728ddd3c4f8b5ca20e41c285a56f796eb39f57531ad) a eu -info-voleur)est disponible dans les forums souterrains depuis 2022, avec plusieurs versions publiées par les développeurs pour tenter d'améliorer ses capacités.La nouvelle classe d'acteurs activée par l'écosystème de l'infostealer démontre qu'il est possible d'obtenir un accès initial à une organisation avec un minimum de compétences en matière de développement de logiciels malveillants natifs, en achetant des outils déjà disponibles. Les infostelleurs sont polyvalents et peuvent être distribués sous diverses formes, notamment par le biais de campagnes par e-mail de phishing, de malvertising et de logiciels, de jeux et d'outils maltraités.Ils peuvent cibler une gamme d'informations telles que les jetons et les cookies de session, les mots de passe enregistrés, les informations financières et les informations d'identification pour les systèmes et applications orientés Internet.[Danabot] (https://security.microsoft.com/intel-profiles/a75af575e02d54320f68f9632df224a0e5fa117e406caeba311ac0a1ecaeacf6), distribué dans la campagne d'attaque discutée par Provel cyfirma.com/research/Danabot-Stealer-a-Multistage-Maas-malware-re-emerghes-with-réduit-détectabilité /) en raison | Ransomware Spam Malware Tool Threat | ★★ |