One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8609480 |
| Date de publication | 2024-11-11 18:49:52 (vue: 2024-11-11 19:08:30) |
| Titre | Le nouveau voleur utilise un certificat non valide pour compromettre les systèmes |
| Texte | ## Instantané Trellix a publié un rapport détaillant Fickle Stealer, un puissant [Information Stealer] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). Phishing, téléchargements d'entraînement et ingénierie sociale. ## Description Ce logiciel malveillant basé sur la rouille est très polyvalent, capable d'infecter des systèmes via plusieurs types de fichiers comme des documents Word et des exécutables, et il contourne le contrôle du compte utilisateur (UAC) à l'aide de PowerShell. Une fois installé, le voleur capricieux peut exfiltrer des données sensibles, telles que les mots de passe, l'historique du navigateur et les informations de portefeuille de crypto-monnaie, et il peut s'auto-se débrouiller après l'exécution pour éviter la détection. Fickle utilise également une signature numérique usurpée pour apparaître comme une application de bureau GitHub légitime, ce qui le rend plus trompeur et difficile pour les utilisateurs de s'identifier comme malveillants. La chaîne d'attaque complexe du voleur \\\\\\\\\\\\ \\\\\\\\ \\\\ \\\\ \\\\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ gerMe de la chaîne d'attaque incorpore une obscurcissement en plusieurs étapes, ce qui lui permet d'éviter la détection par des mesures de sécurité traditionnelles. Il exploite à la fois les gouttes VBA et les fichiers personnalisés pour cacher ses outils d'analyse de charge utile et d'éviter. Notamment, Fickle Stealer envoie des données de victime à l'attaquant via un bot télégramme, révélant des informations géographiques et spécifiques au système. Comme le logiciel malveillant fonctionne en furtivité, il utilise une série de scripts PowerShell pour scanner des fichiers pour injecter avec le code shell, garantissant la persistance et la réinfection. Cette technique d'évasion multicouche, couplée à sa conception à base de rouille, fait de la menace difficile pour les défenses standard. ## Analyse Microsoft et contexte OSINT supplémentaire Les acteurs de la menace peuvent utiliser [des signatures de code non valides] (https://attack.mitre.org/techniques/t1036/001/) dans les logiciels malveillants pour créer une couche trompeuse de légitimité autour de leur logiciel malveillant, exploitant un utilisateur \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\t La confiance de \\\\\\ \ \ \ \ \ \ \ \ \ Files signées numériquement. L'utilisation de signatures non valides permet aux attaquants de faire apparaître des fichiers malveillants comme s'ils proviennent de sources de confiance, même si elles manquent d'authentification valide. En imitant les signatures numériques légitimes, les attaquants peuvent contourner certaines mesures de sécurité, car certains systèmes peuvent toujours reconnaître ou hiérarchiser les fichiers avec des signatures numériques, même si elles ne sont pas valides. Cette approche est particulièrement utile dans les attaques ciblées, car les utilisateurs et les systèmes de sécurité peuvent supposer que le fichier est sûr en raison de la marque ou de l'organisation familière qu'elle prétend être signée. La combinaison de signatures de code non valides avec des tactiques telles que l'identification de la marque augmente encore la probabilité d'une livraison réussie de logiciels malveillants, ce qui en fait une méthode puissante pour l'évasion et l'ingénierie sociale. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 365 365/security/defender 365/security/office The about accessed account accounts acquired actors additional advice: after against age all allowing also analysis antivirus any app appear approach apps are around article assume attachments attack attacker attackers attacks authentication authenticator auto avoid based block blocks bot both brand browser browsers bullet bypass bypasses can capable card cert certain certificate chain challenging check classes click clicking cloud code com/azure/active com/blogs/research/new com/deployedge/microsoft com/en com/intel com/microsoft combining come common complex components compromise conceal configure content context control copyright coupled cover coverage create credential credentials criterion cryptocurrency custom customers data deceptive defender defenses delete delivered delivery deployment description design desktop detailing detection detections/hunting detects devices different difficult digital digitally directory/authentication/concept directory/authentication/how directory/identity distribution documents downloads drive droppers due edge email emails employ employees enable enabled enables encourage encyclopedia endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce engineering enhanced ensure ensuring enterprise entire equivalent evade evasion even evolving example excluded executable executables executing execution exfiltrate exploiting familiar features fickle fido file files filtering first following from further geographic github group guidance hello highly history host hour https://attack https://learn https://security https://www identifies identify identity impact impersonation inbound including incorporates increases infecting infection infections information infostealer infostealers inject installed intelligence intrusions invalid its keys lack layer layered learndoc learndoc#block learning legitimacy legitimate leverages like likelihood links list locations machine mail majority make makes making malicious malware malware: managed many masquerading: match may mbjg measures meet method methods mfa microsoft mimicking mitigation mitigations mitre mode monitored more msr mtb multi multiple name=program:win32/wacapew name=trojan:powershell/malgent name=trojan:win32/amadey new newly not notably number obfuscated obfuscation ocid=magicti off offer office once operates org/techniques/t1036/001/ organization organizations osint other overview packed part particularly password passwordless passwords payload permission persistence personal phishing phones points policies policy polymorphic possible potent potentially powerful powershell prevalence prevent prioritize product profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 program:win32/wacapew prohibited prompt protection protection/howto protections pua purge purports queries ransomware rapidly recheck recognize recommendations recommends reduce reduction refer reference references released remind remove report reproduction require requires reserved response revealing rights rules running rust safe scam scan scripts secured security security/defender security/safe security/zero self sends sensitive sent series settings several shell should sight signature signatures signed site sites smartscreen snapshot social software some sources spam specific spoofed spread stage standard status stealer stealth stop stored strictly succeeded successful such support surface sweeping sync#sync syncing system systems systems/ tactics targeted technique techniques telegram theft thereof thief though threat threats through times tools traditional trellix trojan:powershell/malgent trojan:win32/amadey trojandownloader:powershell/ficklestealer trust trusted turn typed types uac unknown unless unlikely unwanted us/wdsi/threats/malware use used useful user users uses using valid variants vaults vba versatile victim wallet web websites when where which windows without word workplace written your “yes” |
| Tags | Ransomware Spam Malware Tool Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-11-11 21:00:54 | (Déjà vu) Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ [Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ ] (lien direct) | ## Instantané Les chercheurs de l'ESET ont détaillé les opérations de Redline Stealer, un malware infosélérateur découvert pour la première fois en 2020 par Proofpoint, qui fonctionne sous un modèle de logiciel malveillant en tant que service (MAAS). Le malware est conçu pour voler une variété d'informations, notamment des portefeuilles de crypto-monnaie et des informations d'identification de navigateur. ## Description L'infrastructure backend de Redline Stealer a évolué, la version 2023 utilisant le cadre de communication Windows et la version 2024 utilisant une API REST pour la communication. Les modules backend, tels que redline.nodes.dbController et redline.nodes.loadBalancer, sont écrits en C # avec le Framework .NET et gérer les données d'affiliation, les publicités et les fonctionnalités du serveur. Les échantillons de logiciels malveillants peuvent être personnalisés et empêcher l'exécution dans plusieurs pays. L'opération de voleur Redline a été perturbée en avril 2023 lorsque son référentiel GitHub, utilisé comme résolveur à goutte à chair, a été supprimé. Cependant, les opérateurs se sont adaptés en distribuant de nouvelles versions des panneaux et en déplaçant leurs résolveurs à goutte dès la pâte et finalement leurs propres domaines. Les composants du serveur backend ont été infiltrés par des chercheurs qui ont créé des comptes d'affiliation et authentifiés sans acheter un abonnement. Le backend n'utilise pas de base de données traditionnelle mais stocke les enregistrements en tant qu'objets codés par Protobuf dans des fichiers individuels. Le module LoadBalancer, qui gère la création d'échantillons de logiciels malveillants, comprend désormais une fonction de génération de certificat auto-signée et a supprimé la fonctionnalité de détournement de presse-papiers dans les dernières versions. Meta Stealer, apparaissant pour la première fois en 2022, partage des similitudes de code substantielles avec Redline, suggérant une origine ou un créateur commun. Meta Stealer et Redline ont été retirés dans une opération nommée Operation Magnus. Malgré le retrait, il est prudent que Redline pourrait continuer à fonctionner dans une certaine mesure, car les panneaux déjà en cours d'exécution pourraient toujours recevoir des données, et des copies anciennes et fissurées du malware pourraient encore fonctionner. La distribution géographique des panneaux rouges hébergés et des serveurs backend indique une présence significative en Russie, en Allemagne, aux Pays-Bas, en Finlande et aux États-Unis, avec des serveurs backend principalement situés en Russie, au Royaume-Uni, aux Pays-Bas et en République tchèque. Les organismes d'application de la loi ont reçu des listes de serveurs d'authentification obtenus à partir de dossiers décryptés, contribuant à la perturbation de ces infostelleurs. En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre les nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de | Ransomware Spam Malware Tool Threat Legislation Cloud | ★★★ |