One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8609481 |
| Date de publication | 2024-11-11 18:08:06 (vue: 2024-11-11 19:08:30) |
| Titre | Bonjour encore, Fakebat: le chargeur populaire revient après une pause de plusieurs mois |
| Texte | ## Instantané Après une période de diminution de l'activité, le chargeur FakeBat, également connu sous le nom d'Eugenloader ou Paykloader, a refait surface via une publicité Google malveillante imitante de la notion d'application de productivité. ## Description Fakebat fonctionne comme un chargeur de logiciels malveillants souvent utilisé pour livrer des charges utiles de suivi comme [Lummac2 Stealer] (https://security.microsoft.com/intel-profiles/33933578825488511C30B0728DD3C4F8B5CA20E41C285A56f796eb39f531ad). L'annonce récente pour la notion, conçue pour paraître légitime avec l'image de marque, a utilisé une séquence de redirections d'URL, y compris des liens de camouflage et de suivi, pour échapper à la détection et à rediriger les utilisateurs sans méfiance vers un site malveillant. En exploitant le système d'annonces de Google \\\\\\\\\\\\\\ \\\\ \\\\\\ \ \ \\\\\\\\ \ \ useau, les attaquants ont masqué la véritable destination pour les utilisateurs et redirigé les utilisateurs non ciblés vers le site Web de notion légitime, en contournant efficacement Google \\\\\\\ Les chèques de sécurité de \\\\\. Lors de l'infection, FakeBat initie une attaque PowerShell en deux étapes, en utilisant des techniques d'empreintes digitales pour éviter la détection de bac à sable et utiliser l'obscurcissement des réacteurs .NET pour cacher son code. Ce malware charge ensuite Lummac2, un voleur conçu pour capturer les informations utilisateur, en utilisant le processus msbuild.exe pour l'injection. Cette résurgence d'annonces malveillantes souligne à quelle facilité les cybercriminels peuvent se faire passer pour les marques réputées, en profitant des plates-formes publicitaires pour répandre les logiciels malveillants avec une résistance minimale. ## Analyse Microsoft et contexte OSINT supplémentaire Les cybercriminels utilisent des techniques de malvertisation pour diffuser des voleurs d'informations comme Lummac2 car ils offrent une large portée avec un minimum de barrières, exploitant souvent des plateformes publicitaires populaires telles que Google, Facebook et Bing Ads. Grâce à Malvertising, les attaquants peuvent déployer de fausses publicités imitantes de marques bien connues, ce qui renforce une crédibilité instantanée avec des victimes potentielles, en les incitant à cliquer sur des liens malveillants. Ces publicités peuvent contourner les mesures de sécurité traditionnelles en utilisant le camouflage et la redirection d'URL, affichant un contenu légitime vers des non-cibles tout en dirigeant les victimes prévues vers des sites chargés de logiciels malveillants. Les voleurs d'informations sont des charges utiles particulièrement attrayantes dans les campagnes de malvertisation, car ils peuvent rapidement recueillir des données sensibles auprès des utilisateurs, tels que les informations d'identification, les détails financiers et les informations système, ce qui les rend précieuses pour la revente sur le Dark Web ou pour une nouvelle exploitation. La polyvalence et l'évolutivité de la malvertisation permettent aux attaquants de lancer un large filet à travers divers emplacements géographiques, maximisant leur capacité à compromettre un nombre important de systèmes avec un coût initial minimal. Pour en savoir plus sur la malvertising, lisez les [Trends OSInt en malvertising] (https://security.microsoft.com/intel-explorer/articles/a52645c5-5560-80d4-2311-6b09d1a63811). ## Recommandations Les organisations peuvent atténuer certains risques de la malvertisation en permettant la protection des réseaux et [Programme potentiellement indésirable (PUA) Application] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-block-potential-unwanted-apps-microsoft-defender-antivirus?View=O365-worlwide). En utilisant le principe du moindre privilège et de la construction d'hygiène des diplômes, les administrateurs peuvent limiter l'impact destructeur des attaques de malvertisati |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 2311 365 365/business 365/security/defender 496d 5560 6b09d1a63811 80d4 Fakebat: Hello aad ability about access accessed accounts across action activity actors ad3c additional addresses administrative administrator administrators ads advanced advantage after again against age alert alerts all allow also always analysis antivirus any app application applications apps apps/proxy are artifacts attack attacker attackers attacks attractive authentication automated avoid barriers based because behind bing block blocks blog branding brands breach breaches break broad browsers building builds bypass bypassing c6a795a33c27/analystreport campaigns can capture cast changes charger checks clicking cloaking cloud code com/blog/cybercrime/2024/11/hello com/en com/intel com/threatanalytics3/05658b6c common components compromise conditional connecting connections contain content context control copyright cost cover credential credentials credibility criterion customers cybercriminals dark data dc62 decreased defend defender defender/ deliver delivered deploy description designed destination destructive details detect detected detection detections/hunting detects devices directing displaying distribution diverse doesn domain domains easily edge edr effectively employing enable enabling encourage encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/detect endpoint/edr endpoint/enable endpoint/prevent enforce equivalent eugenloader evade even evolving excluded exe executable execution exploitation exploiting exploits explorer/articles/a52645c5 facebook factor fake fakebat fakebat: features files financial fingerprinting first follow following from full functions further gain gather geographic google has hello help hiatus hide host how https://learn https://security https://www hygiene identifies immediate impact impersonate impersonating implement including infection information initial initiates injection installation instant intended intro investigation investigations its known laden laps lateral learn learndoc learndoc#block learndoc#use learning least legitimate let level like limit links list loader loads local locations long look lummac2 machine maintain making malicious malvertising malware malware: malwarebytes masked maximizing measures meet mfa microsoft minimal mitigate mitigations mode months more most movement msbuild multi name=trojan:win64/znyonm net network new non notion number obfuscated obfuscation ocid=magicti offer often organizations osint other overview part particularly passive password passwords paykloader payloads period permission phishing platforms popular post potential potentially powershell practice premium/m365bp prevalence prevent principle privilege privileged privileges process product productivity profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad program prohibited protect protection protections pua queries quickly randomize ransomware rapidly rats reach reactor read recent recommendations recommends redirect redirected redirection redirects reduce reducing reduction refer reference references remediate remediation remove reproduction reputable require resale reserved resistance resolve response restrict restricting resurfaced resurgence returns rights risks robust rules run running sandbox scalability scam scenes scripts security sensitive sequence server/identity/laps/laps service services settings several shared sight significant significantly site sites smartscreen snapshot solution some spread stage stealer stealers stopping strictly strong such support surface system systems take taking tamper targeted targets techniques techniques: them then thereof these threat through tool tools tracking traditional trends tricking trojan:win32/znyonm true trusted turn two underscores unknown unless unmanaged unsuspecting unwanted upfront upon url us/defender us/deployedge/microsoft us/microsoft us/security/blog/2022/10/26/how us/wdsi/threats/malware us/windows use used user users using valuable variants versatility victims view=o36 |
| Tags | Ransomware Malware Tool Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.