One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8607279 |
| Date de publication | 2024-11-07 00:27:22 (vue: 2024-11-07 01:11:01) |
| Titre | Godfather Malware étend sa portée, ciblant 500 applications bancaires et crypto dans le monde entier GodFather Malware Expands Its Reach, Targeting 500 Banking And Crypto Applications Worldwide (Recyclage) |
| Texte | #### Géolocations ciblées - Royaume-Uni - États-Unis - t & uuml; rkiye - Espagne - Italie - Japon - Singapour - Grèce - Azerbaïdjan ## Instantané Cyble Research and Intelligence Labs a publié un rapport détaillant la nouvelle version du Trojan Banking Banking Godfather, découvert sur un site de phishing qui a usurpé le site officiel de MyGov du gouvernement australien. ## Description Le site «Mygov-au \ [. \] App», distribue un faux fichier «mygov.apk» qui, une fois installé, commence à voler des données utilisateur et communique avec le serveur de commande et de contrôle (C2) à «HXXPS://az-inatv\ vag.\Le parrain cible désormais 500 applications bancaires et de crypto-monnaie, élargissant sa portée au-delà du Royaume-Uni, des États-Unis et de l'Europe au Japon, à Singapour, en Grèce et en Azerbaïdjan.Cette version s'est déplacée vers le code natif, ce qui rend plus difficile l'analyse, tout en s'appuyant sur les services d'accessibilité d'Android \\ pour recueillir des informations d'identification et automatiser les actions. Le processus d'infection de Godfather \\ comprend le suivi du nombre d'installations et de dispositifs de rassemblement IPS, permettant aux attaquants d'affiner le ciblage.Il accède à un répertoire ouvert sur le serveur C2 qui stocke le nombre de périphériques et les adresses IP, indiquant une portée étendue.Le Troie ferme les applications bancaires ou cryptographiques légitimes et les remplace par des pages de phishing, en contournant la méthode traditionnelle de superposition et en améliorant l'efficacité du vol de données.Les commandes des versions précédentes liées aux opérations SMS ont été supprimées, se concentrant plutôt sur l'automatisation des gestes pour simuler les actions des utilisateurs. En utilisant moins d'autorisations, la nouvelle implémentation de Godfather \\ lui permet d'échapper à la détection tout en élargissant ses capacités à plus de pays et d'applications.Cette évolution souligne comment les logiciels malveillants mobiles progressent et la nécessité de pratiques de sécurité solides pour se protéger contre de telles menaces. ## Analyse Microsoft et contexte OSINT supplémentaire Les chevaux de Troie bancaires, traditionnellement connus pour avoir volé des références bancaires de consommation et des données financières, ont de plus en plus déplacé leur objectif dans les environnements d'entreprise, où elles constituent également une menace importante.En plus de cibler les utilisateurs individuels, ces campagnes de logiciels malveillants hiérarchisent désormais l'accès aux informations financières des entreprises, y compris les comptes bancaires d'entreprise, les documents financiers internes et les données propriétaires des entreprises.Cette tendance reflète la sophistication croissante des cybercriminels qui cherchent à exploiter des objectifs de plus grande valeur au sein des entreprises, telles que les systèmes comptables, les données de paie et les enregistrements de transactions financières.Ce changement élargit non seulement la portée des dommages, mais augmente également le potentiel de perte financière et de perturbations opérationnelles pour les organisations touchées.En conséquence, les chevaux de Troie bancaires représentent de plus en plus une double menace, un impact sur les consommateurs et les entreprises en compromettant l'intégrité des données, la stabilité financière et la continuité des activités. ## Recommandations - Installez uniquement les applications à partir de sources de confiance et de magasins officiels. - Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil. - Utilisez des solutions mobiles telles que [Microsoft Defender pour le point de terminaison sur Android] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-android?view=o365-worldwide |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2024 2024** 365/security/defender 500 access accessed accesses accessibility accounting accounts actions addition additional addresses advancing affected against all allowing allows also always analysis analyze android antivirus any apk” app applicable applications apps apps disabled are as attackers australian automate automating azerbaijan banking been begins being beyond both broadening broadens business but bypassing campaigns capabilities closes code com/ com/blog/godfather com/en com/microsoft command commands communicates companies components compromising consider consumer consumers content context continuity control copyright corporate countries counts credentials crypto cryptocurrency cybercriminals cyble damage data defender description detailing detect detection detections/hunting detects development device directory discovered disruptions distributes distribution documents dual efficiency encyclopedia endpoint endpoint/microsoft enterprise enterprises environment environments europe evade evaluate expanding expands exploit extensive fake fewer file financial focus focusing following from gaining gather gathering geolocations gestures godfather government greece growing hacktool:win32/autokms harder has have higher highlights how https://cyble https://learn https://www impacting impersonating implementation improving inatv includes including increases increasingly indicating individual infection information install installed installs instead integrity intelligence internal internet iot iot/organizations/overview ips italy its japan keep install kingdom known labs legitimate longer loss makes malicious malware malware: method microsoft mobile more mygov name=hacktool:win32/autokms name=spyware:androidos/multiverze name=trojan:androidos/aversefalc name=trojan:win32/coinminer name=trojan:win32/killav native need new newest not now number official once only open operational operations organizations osint overlay pages part payroll permission permissions phishing pose potential practices prevent previous prioritize process prohibited proprietary protect queries reach receiving recommendations records references refine reflects related released relying removed replaces replacing report represent reproduction research reserved result rights scope security seek server services shift shifted significant simulate singapore site sms snapshot solutions sophistication sources spain spyware:androidos/multiverze stability states stealing stores strong strongly such systems targeted targeting targets theft them thereof these things threat threats tracking traditional traditionally transaction trend trojan trojan:androidos/aversefalc trojan:win32/coinminer trojan:win32/killav trojans trusted türkiye united unknown updates us/azure/defender us/wdsi/threats/malware use user users using value version versions view=o365 website where whether which who within without worldwide worldwide/ written your “hxxps://az “mygov |
| Tags | Malware Threat Mobile Prediction |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8606603 |
| Date de publication | 2024-11-05 19:49:09 (vue: 2024-11-05 20:10:11) |
| Titre | G700: la prochaine génération de rat Craxs G700 : The Next Generation of Craxs RAT |
| Texte | ## Instantané Cyfirma a publié un rapport sur le Trojan (RAT) d'accès à distance du G700, une variante sophistiquée du malware Craxs Rat. ## Description Le G700 a principalement un impact sur les appareils Android et les applications de crypto-monnaie grâce à des tactiques avancées comme l'escalade des privilèges, le phishing et la fausse distribution APK.Cyfirma note que le rat G700 exploite les lacunes de sécurité sur Android, en contournant l'authentification, en volant des informations d'identification et en manipulant les fonctions d'application légitimes pour fonctionner non détecté.En utilisant des méthodes telles que la capture silencieuse des SMS, les abus approfondis et la capture d'écran, ce malware intercepte des mots de passe uniques et manipule les données sensibles, constituant des menaces importantes pour les utilisateurs \\ 'la sécurité. Distribué largement sur les forums Web Dark et via les canaux télégrammes, le malware est codé en C # et Java, permettant l'évasion et la persistance par le biais de techniques d'obscurcissement.Le rat G700 permet le détournement des transactions de crypto-monnaie, la redirection des fonds en affichant de fausses pages d'applications. ## Analyse Microsoft et contexte OSINT supplémentaire [Craxsrat] (https://www.group-ib.com/blog/craxs-rat-malware/), une famille bien connue de chevaux de Troie à distance Android (rats), constitue une menace potentielle pour les organisations au-delà de ses cibles principales principalesdans le secteur financier.Actif Depuis au moins février 2024, Craxsrat est équipé de capacités de logiciels espions avancés, permettant aux attaquants de contrôler à distance les appareils, de journaliser les frappes et de capturer des données sensibles via des caméras, des écrans et des enregistrements d'appels.De plus, il peut envoyer des SMS aux contacts de la victime, ce qui facilite la distribution des logiciels malveillants. Bien que se soit initialement concentré sur les clients des organisations financières, comme indiqué dans le rapport de juillet 2024 en juillet 2024 de [Group-IB \\] (https://www.group-ib.com/blog/craxs-rat-malaysia/), Craxsrat \\La fonctionnalité de lui permet de compromettre divers types de données et d'opérations sensibles dans les industries.Ses vastes caractéristiques de logiciels espions signifient que toute organisation, quel que soit le secteur, est en danger, soulignant la nécessité de mesures de cybersécurité accrue pour les appareils mobiles dans tous les environnements commerciaux. ## Recommandations - Installez uniquement les applications à partir de sources de confiance et de magasins officiels. - Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil. - Utilisez des solutions mobiles telles que [Microsoft Defender pour le point de terminaison sur Android] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-android?view=o365-worldwide) àdétecter les applications malveillantes - Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues. - Évaluez si [Microsoft Defender pour l'Internet des objets (IoT)] (https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/overview) est applicable à votre environnement IoT. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme suivantNg malware: - [Trojan: Androidos / Spynote] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description? Name = Trojan: Androidos / Spynote.e) ## références [G700: La prochaine génération de rat Craxs] (https://www.cyfirma.com/research/g700-the-next-generation-of-craxs-rat/).Cyfirma (consulté en 2024-11-05) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés.La |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 365/security/defender about abuse access accessed across active additional additionally advanced all allowing always analysis android antivirus any apk app applicable applications apps apps disabled are as attackers authentication being beyond business bypassing call cameras can capabilities capture capturing channels coded com/blog/craxs com/en com/microsoft com/research/g700 components compromise consider contacts content context control copyright craxs craxsrat credentials cryptocurrency customers cybersecurity cyfirma dark data defender description detect detections/hunting detects device devices displaying distributed distribution enables encyclopedia endpoint endpoint/microsoft environment environments equipped escalation evaluate evasion expansive exploits extensive facilitates fake family features february financial focused following forums from functionality functions funds further g700 gaps generation group heightened hijacking https://learn https://www impacts industries initially install installed intercepts internet iot iot/organizations/overview its java july keep install keystrokes known least legitimate like log longer malaysia/ malicious malware malware/ malware: manipulates manipulating mean measures messages methods microsoft mobile name=trojan:androidos/spynote need new next noted notes obfuscation official one only operate operations organization organizations osint pages part passwords permission permissions persistence phishing poses posing potential prevent primarily primary privilege prohibited queries rat rat/ rats receiving recommendations recordings redirecting references regardless released remote remotely replacing report reproduction reserved rights risk screen screens sector security send sensitive services significant silent since site sms snapshot solutions sophisticated sources spyware stealing stores strongly such tactics targets techniques telegram thereof things threat threats through time transactions trojan trojan:androidos/spynote trojans trusted types underscoring undetected unknown updates us/azure/defender us/wdsi/threats/malware use users using variant various victim view=o365 web well whether which widely without worldwide written your |
| Tags | Malware Threat Mobile |
| Stories | |
| Move |
|
L'article ne semble pas avoir été repris sur un précédent.