One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8609535 |
| Date de publication | 2024-11-11 21:00:54 (vue: 2024-11-11 22:08:28) |
| Titre | Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ [Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ ] (Recyclage) |
| Texte | ## Instantané Les chercheurs de l'ESET ont détaillé les opérations de Redline Stealer, un malware infosélérateur découvert pour la première fois en 2020 par Proofpoint, qui fonctionne sous un modèle de logiciel malveillant en tant que service (MAAS). Le malware est conçu pour voler une variété d'informations, notamment des portefeuilles de crypto-monnaie et des informations d'identification de navigateur. ## Description L'infrastructure backend de Redline Stealer a évolué, la version 2023 utilisant le cadre de communication Windows et la version 2024 utilisant une API REST pour la communication. Les modules backend, tels que redline.nodes.dbController et redline.nodes.loadBalancer, sont écrits en C # avec le Framework .NET et gérer les données d'affiliation, les publicités et les fonctionnalités du serveur. Les échantillons de logiciels malveillants peuvent être personnalisés et empêcher l'exécution dans plusieurs pays. L'opération de voleur Redline a été perturbée en avril 2023 lorsque son référentiel GitHub, utilisé comme résolveur à goutte à chair, a été supprimé. Cependant, les opérateurs se sont adaptés en distribuant de nouvelles versions des panneaux et en déplaçant leurs résolveurs à goutte dès la pâte et finalement leurs propres domaines. Les composants du serveur backend ont été infiltrés par des chercheurs qui ont créé des comptes d'affiliation et authentifiés sans acheter un abonnement. Le backend n'utilise pas de base de données traditionnelle mais stocke les enregistrements en tant qu'objets codés par Protobuf dans des fichiers individuels. Le module LoadBalancer, qui gère la création d'échantillons de logiciels malveillants, comprend désormais une fonction de génération de certificat auto-signée et a supprimé la fonctionnalité de détournement de presse-papiers dans les dernières versions. Meta Stealer, apparaissant pour la première fois en 2022, partage des similitudes de code substantielles avec Redline, suggérant une origine ou un créateur commun. Meta Stealer et Redline ont été retirés dans une opération nommée Operation Magnus. Malgré le retrait, il est prudent que Redline pourrait continuer à fonctionner dans une certaine mesure, car les panneaux déjà en cours d'exécution pourraient toujours recevoir des données, et des copies anciennes et fissurées du malware pourraient encore fonctionner. La distribution géographique des panneaux rouges hébergés et des serveurs backend indique une présence significative en Russie, en Allemagne, aux Pays-Bas, en Finlande et aux États-Unis, avec des serveurs backend principalement situés en Russie, au Royaume-Uni, aux Pays-Bas et en République tchèque. Les organismes d'application de la loi ont reçu des listes de serveurs d'authentification obtenus à partir de dossiers décryptés, contribuant à la perturbation de ces infostelleurs. En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre les nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2020 2022 2023 2024 2024** 2147144942&ocid=magicti 365 365/security/defender 365/security/office Analyze Backend CROOKED Cereallèbre Croooked Infosteller LIFE Life REDLINE: Redline: Sadly about accessed accounts acquired adapted advertisements advice: affiliate against age agencies aiding all already analyzing antivirus any api app appearing apps april are article attachments attack attacker authenticated authentication authenticator auto backend backend/ based been block blocks both browser browsers bullet but can caution certificate check classes click clicking clipboard cloud code com/azure/active com/en com/en/eset com/intel com/microsoft common communication components configure content continue copies copyright could countries cover coverage cracked created creation creator credential credentials criterion crooked cryptocurrency customers customized czech data database dbcontroller dead decrypted defender degree delete delivered description designed despite detailed detections/hunting detects devices different directory/authentication/concept directory/authentication/how directory/identity discovered disrupted disruption distributing distribution does domains down drop due edge email emails employing enable enabled encoded encourage ency encyclopedia endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce enforcement enhanced ensure entire equivalent eset even eventually evolved evolving example excluded executable execution feature features fido files filtering finland first following framework from function functionality functions generation geographical germany github guidance handles has have hello here hijacking host hosted hour however https://learn https://security https://www identifies identity impact inbound includes including indicates individual infamous infections infiltrated information infostealer infostealers infosteller infrastructure intelligence intrusions its keys latest law learndoc learndoc#block learning life like links list lists live loadbalancer located locations maas machine magnus mail mainly majority malicious malware malware: manage management manager many match may meet meta methods mfa microsoft might mitigation mitigations mode model module modules more moving mtb&threatid= name=spyware:win32/redline name=trojan:win32/redline name=trojan:win64/redline named net netherlands new newly nodes not now number obfuscated objects obtained ocid=magicti offer office old operate operation operations operators origin other overview own panels part password passwordless passwords pastebin permission phishing phones points policies policy polymorphic possible potentially presence prevalence prevent product profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 prohibited prompt proofpoint protection protection/howto protections protobuf provided pua purchasing purge queries ransomware rapidly read receive recheck recommendations recommends records redline redline: reduce reduction refer reference references remove removed repository reproduction republic require requires research/life researchers reserved resolver resolvers response rest rights rules running russia safe samples scam scripts security security/safe security/zero self sent server servers service settings several shares sight signed significant similarities site sites smartscreen snapshot some spam specific spoofed spyware:win32/redline states steal stealer stealers stop stores strictly subscription substantial succeeded such suggesting support surface sweeping takedown taken techniques theft thereof these threat threats times tools traditional trojan:win32/redline trojan:win64/redline trusted turn typed under united unknown unless unwanted us/deployedge/microsoft us/wdsi/threats/malware use used users uses using variants variety version versions wallets web websites welivesecurity when where which who windows without written your “yes” |
| Tags | Ransomware Spam Malware Tool Threat Legislation Cloud |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8609480 |
| Date de publication | 2024-11-11 18:49:52 (vue: 2024-11-11 19:08:30) |
| Titre | Le nouveau voleur utilise un certificat non valide pour compromettre les systèmes |
| Texte | ## Instantané Trellix a publié un rapport détaillant Fickle Stealer, un puissant [Information Stealer] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). Phishing, téléchargements d'entraînement et ingénierie sociale. ## Description Ce logiciel malveillant basé sur la rouille est très polyvalent, capable d'infecter des systèmes via plusieurs types de fichiers comme des documents Word et des exécutables, et il contourne le contrôle du compte utilisateur (UAC) à l'aide de PowerShell. Une fois installé, le voleur capricieux peut exfiltrer des données sensibles, telles que les mots de passe, l'historique du navigateur et les informations de portefeuille de crypto-monnaie, et il peut s'auto-se débrouiller après l'exécution pour éviter la détection. Fickle utilise également une signature numérique usurpée pour apparaître comme une application de bureau GitHub légitime, ce qui le rend plus trompeur et difficile pour les utilisateurs de s'identifier comme malveillants. La chaîne d'attaque complexe du voleur \\\\\\\\\\\\ \\\\\\\\ \\\\ \\\\ \\\\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ gerMe de la chaîne d'attaque incorpore une obscurcissement en plusieurs étapes, ce qui lui permet d'éviter la détection par des mesures de sécurité traditionnelles. Il exploite à la fois les gouttes VBA et les fichiers personnalisés pour cacher ses outils d'analyse de charge utile et d'éviter. Notamment, Fickle Stealer envoie des données de victime à l'attaquant via un bot télégramme, révélant des informations géographiques et spécifiques au système. Comme le logiciel malveillant fonctionne en furtivité, il utilise une série de scripts PowerShell pour scanner des fichiers pour injecter avec le code shell, garantissant la persistance et la réinfection. Cette technique d'évasion multicouche, couplée à sa conception à base de rouille, fait de la menace difficile pour les défenses standard. ## Analyse Microsoft et contexte OSINT supplémentaire Les acteurs de la menace peuvent utiliser [des signatures de code non valides] (https://attack.mitre.org/techniques/t1036/001/) dans les logiciels malveillants pour créer une couche trompeuse de légitimité autour de leur logiciel malveillant, exploitant un utilisateur \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\t La confiance de \\\\\\ \ \ \ \ \ \ \ \ \ Files signées numériquement. L'utilisation de signatures non valides permet aux attaquants de faire apparaître des fichiers malveillants comme s'ils proviennent de sources de confiance, même si elles manquent d'authentification valide. En imitant les signatures numériques légitimes, les attaquants peuvent contourner certaines mesures de sécurité, car certains systèmes peuvent toujours reconnaître ou hiérarchiser les fichiers avec des signatures numériques, même si elles ne sont pas valides. Cette approche est particulièrement utile dans les attaques ciblées, car les utilisateurs et les systèmes de sécurité peuvent supposer que le fichier est sûr en raison de la marque ou de l'organisation familière qu'elle prétend être signée. La combinaison de signatures de code non valides avec des tactiques telles que l'identification de la marque augmente encore la probabilité d'une livraison réussie de logiciels malveillants, ce qui en fait une méthode puissante pour l'évasion et l'ingénierie sociale. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 365 365/security/defender 365/security/office The about accessed account accounts acquired actors additional advice: after against age all allowing also analysis antivirus any app appear approach apps are around article assume attachments attack attacker attackers attacks authentication authenticator auto avoid based block blocks bot both brand browser browsers bullet bypass bypasses can capable card cert certain certificate chain challenging check classes click clicking cloud code com/azure/active com/blogs/research/new com/deployedge/microsoft com/en com/intel com/microsoft combining come common complex components compromise conceal configure content context control copyright coupled cover coverage create credential credentials criterion cryptocurrency custom customers data deceptive defender defenses delete delivered delivery deployment description design desktop detailing detection detections/hunting detects devices different difficult digital digitally directory/authentication/concept directory/authentication/how directory/identity distribution documents downloads drive droppers due edge email emails employ employees enable enabled enables encourage encyclopedia endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce engineering enhanced ensure ensuring enterprise entire equivalent evade evasion even evolving example excluded executable executables executing execution exfiltrate exploiting familiar features fickle fido file files filtering first following from further geographic github group guidance hello highly history host hour https://attack https://learn https://security https://www identifies identify identity impact impersonation inbound including incorporates increases infecting infection infections information infostealer infostealers inject installed intelligence intrusions invalid its keys lack layer layered learndoc learndoc#block learning legitimacy legitimate leverages like likelihood links list locations machine mail majority make makes making malicious malware malware: managed many masquerading: match may mbjg measures meet method methods mfa microsoft mimicking mitigation mitigations mitre mode monitored more msr mtb multi multiple name=program:win32/wacapew name=trojan:powershell/malgent name=trojan:win32/amadey new newly not notably number obfuscated obfuscation ocid=magicti off offer office once operates org/techniques/t1036/001/ organization organizations osint other overview packed part particularly password passwordless passwords payload permission persistence personal phishing phones points policies policy polymorphic possible potent potentially powerful powershell prevalence prevent prioritize product profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 program:win32/wacapew prohibited prompt protection protection/howto protections pua purge purports queries ransomware rapidly recheck recognize recommendations recommends reduce reduction refer reference references released remind remove report reproduction require requires reserved response revealing rights rules running rust safe scam scan scripts secured security security/defender security/safe security/zero self sends sensitive sent series settings several shell should sight signature signatures signed site sites smartscreen snapshot social software some sources spam specific spoofed spread stage standard status stealer stealth stop stored strictly succeeded successful such support surface sweeping sync#sync syncing system systems systems/ tactics targeted technique techniques telegram theft thereof thief though threat threats through times tools traditional trellix trojan:powershell/malgent trojan:win32/amadey trojandownloader:powershell/ficklestealer trust trusted turn typed types uac unknown unless unlikely unwanted us/wdsi/threats/malware use used useful user users uses using valid variants vaults vba versatile victim wallet web websites when where which windows without word workplace written your “yes” |
| Tags | Ransomware Spam Malware Tool Threat Cloud |
| Stories | |
| Move |
|
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-11-11 23:53:46 | (Déjà vu) Les pirates utilisent désormais la concaténation des fichiers zip pour échapper à la détection (lien direct) | ## Instantané [Perception Point Researchers] (https://perception-point.io/blog/evasive-cicontenated-zip-trojan-targets-windows-users/) ont identifié une nouvelle méthode d'attaque de phishing où les pirates ciblent les machines Windows à l'aide de la concaténation du fichier zip à zip à la concaténation du fichier zip à la concatenation du fichier zip à concaténation du fichier zip à concaténation du fichier zip à concaténation du fichier zip de concaténation du fichier zip de concaténation du fichier zip à la concaténation du fichier ZIP FILE CONCATENTIA Technique pour fournir des charges utiles malveillantes. Cette technique tire parti des variations de zip aux analyseurs zip et aux gestionnaires d'archives gère les fichiers zip concaténés, qui sont des archives composées de plusieurs structures zippées fusionnées en une seule. ## Description Dans l'attaque de phishing observée, les attaquants ont attiré les victimes avec un faux avis d'expédition et ont livré une archive zip concaténée qui est apparue comme un fichier RAR. La charge utile malveillante dans le linge de script AutoIt a exploité ses tâches pour automatiser ses tâches. L'attaque commence par la création d'archives zippées séparées, avec la charge utile malveillante cachée dans l'un d'eux. Ces fichiers sont ensuite concaténés, résultant en un seul fichier qui contient plusieurs structures zip, chacune avec son propre répertoire et ses marqueurs finaux. Le succès de l'attaque dépend de l'application zip \\\\\\\\\\\\ \’s de la gestion des archives concaténées. 7zip affiche uniquement les premières archives potentiellement bénignes, tandis que Winrar montre les deux, révélant le contenu malveillant. Windows File Explorer pourrait ne pas ouvrir le fichier ou, s'il a une extension .rar, affichez uniquement la deuxième archive contenant le malware. Les tests de point de perception ont montré que 7ZIP n'a affiché qu'un PDF inoffensif, mais Windows Explorer a révélé l'exécutable malveillant lors de l'ouverture du même fichier. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contre nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise. Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent malware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rap | Ransomware Spam Malware Tool Threat Cloud | ★★★ |