One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8598281 |
| Date de publication | 2024-10-15 16:24:37 (vue: 2024-10-15 17:18:15) |
| Titre | Hidden à la vue: Errorfather \\'s Deployment de Cerberus Hidden in Plain Sight: ErrorFather\\'s Deadly Deployment of Cerberus |
| Texte | ## Instantané
Cyble Research and Intelligence Labs (CRIL) a identifié une nouvelle cyber campagne, «Errorfather», qui utilise une variante du Troie bancaire Android Cerberus.
## Description
Découvert à l'origine en 2019, Cerberus est connu pour cibler les applications financières et sur les réseaux sociaux avec des keylogging, des attaques de superposition et des fonctionnalités de télécommande via VNC.La campagne ErrorFather intègre plusieurs couches d'infection, y compris les gouttes basés sur des sessions et les charges utiles cryptées, ce qui rend la détection et le retrait plus difficiles.
La campagne, qui a vu une activité accrue en septembre et octobre 2024, déploie des logiciels malveillants capables de voler des informations sensibles telles que les informations d'identification de connexion et les détails de paiement grâce à des techniques de phishing sophistiquées.Une caractéristique unique de ErrorFather est son utilisation d'un algorithme de génération de domaine (DGA), qui permet aux mises à jour dynamiques de commander et de contrôler les serveurs C & C), en gardant le malware fonctionnel même si les serveurs primaires sont désactivés.
Bien qu'ils soient basés sur des logiciels malveillants plus anciens, les modifications de l'erreur de \\, telles que l'obscurcissement accru et les nouvelles structures C&C, l'ont aidé à échapper à la détection par de nombreux systèmes antivirus.Selon Cril, la campagne souligne également comment les cybercriminels continuent de réutiliser les logiciels malveillants divulgués, comme on le voit avec d'autres variantes de Cerberus comme Alien et Ermac.La persistance de ces menaces démontre le risque continu posé par les logiciels malveillants réoutils, même des années après sa libération initiale.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le suivanten raison de logiciels malveillants:
- [Trojan: Win32 / Coinminder] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/coinminer.aq)
- [HackTool: Win32 / Autokms] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyClopedia-Description? Name = HackTool: Win32 / AutoKMS)
- [Trojan: Win32 / Killav] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win32/killav.dr)
- [Programme: AndroidoS / Multiverze] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=program:Androidos/Multiverze!pz)
## références
[Hidden à la vue: Errorfather \\ est mortel de Cerberus] (https://cyble.com/blog/hidden-in-plain-sight-errorfathers-deadly-deployment-of-cerberus/).Cyble (consulté 2024-10-14)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Cyble Research and Intelligence Labs (CRIL) has identified a new cyber campaign, “ErrorFather,” which utilizes a variant of the Cerberus Android Banking Trojan. ## Description Originally discovered in 2019, Cerberus is known for targeting financial and social media apps with keylogging, overlay attacks, and remote control features via VNC. The ErrorFather campaign incorporates multiple layers of infection, including session-based droppers and encrypted payloads, making detection and removal more difficult. The campaign, which saw increased activity in September and October 2024, deploys malware capable of stealing sensitive information like login credentials and payment details through sophisticated phishing techniques. A unique feature of ErrorFather is its use of a Domain Generation Algorithm (DGA), which enables dynamic updates to Command and Control (C&C) servers, keeping the malware functional even if primary servers are disabled. Despite bein |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 2019 2024 2024** accessed according activity after algorithm alien all also android antivirus any apps are attacks banking based being c&c campaign capable cerberus cerberus/ com/blog/hidden com/en command components content continue control copyright credentials cril cyber cybercriminals cyble deadly defender demonstrates deployment deploys description despite details detection detections/hunting detects dga difficult disabled discovered distribution domain droppers dynamic enables encrypted encyclopedia ermac errorfather errorfathers evade even feature features financial following functional generation hacktool:win32/autokms has have helped hidden highlights how https://cyble https://www identified including incorporates increased infection information initial intelligence its keeping keylogging known labs layers leaked like login making malware malware: many media microsoft modifications more multiple name=hacktool:win32/autokms name=program:androidos/multiverze name=trojan:win32/coinminer name=trojan:win32/killav new obfuscation october older ongoing originally other overlay part payloads payment permission persistence phishing plain posed primary program:androidos/multiverze prohibited queries references release remote removal reproduction repurpose research reserved retooled rights risk saw seen sensitive september servers session sight sight: site snapshot social sophisticated stealing structures such systems targeting techniques thereof these threat threats through trojan trojan:win32/coinminer trojan:win32/killav unique updates us/wdsi/threats/malware use utilizes variant variants vnc which without written years “errorfather |
| Tags | Malware Threat Mobile |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.