One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8609569 |
| Date de publication | 2024-11-11 23:53:46 (vue: 2024-11-12 00:08:46) |
| Titre | Les pirates utilisent désormais la concaténation des fichiers zip pour échapper à la détection (Recyclage) |
| Texte | ## Instantané [Perception Point Researchers] (https://perception-point.io/blog/evasive-cicontenated-zip-trojan-targets-windows-users/) ont identifié une nouvelle méthode d'attaque de phishing où les pirates ciblent les machines Windows à l'aide de la concaténation du fichier zip à zip à la concaténation du fichier zip à la concatenation du fichier zip à concaténation du fichier zip à concaténation du fichier zip à concaténation du fichier zip de concaténation du fichier zip de concaténation du fichier zip à la concaténation du fichier ZIP FILE CONCATENTIA Technique pour fournir des charges utiles malveillantes. Cette technique tire parti des variations de zip aux analyseurs zip et aux gestionnaires d'archives gère les fichiers zip concaténés, qui sont des archives composées de plusieurs structures zippées fusionnées en une seule. ## Description Dans l'attaque de phishing observée, les attaquants ont attiré les victimes avec un faux avis d'expédition et ont livré une archive zip concaténée qui est apparue comme un fichier RAR. La charge utile malveillante dans le linge de script AutoIt a exploité ses tâches pour automatiser ses tâches. L'attaque commence par la création d'archives zippées séparées, avec la charge utile malveillante cachée dans l'un d'eux. Ces fichiers sont ensuite concaténés, résultant en un seul fichier qui contient plusieurs structures zip, chacune avec son propre répertoire et ses marqueurs finaux. Le succès de l'attaque dépend de l'application zip \\\\\\\\\\\\ \’s de la gestion des archives concaténées. 7zip affiche uniquement les premières archives potentiellement bénignes, tandis que Winrar montre les deux, révélant le contenu malveillant. Windows File Explorer pourrait ne pas ouvrir le fichier ou, s'il a une extension .rar, affichez uniquement la deuxième archive contenant le malware. Les tests de point de perception ont montré que 7ZIP n'a affiché qu'un PDF inoffensif, mais Windows Explorer a révélé l'exécutable malveillant lors de l'ouverture du même fichier. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contre nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise. Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent malware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rap |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 365 365/security/defender 365/security/office 7zip Pirates Zip about accessed accounts acquired advantage advice: against age all antivirus any app appeared application apps archive archives are article attachments attack attacker attackers authentication authenticator auto autoit automate based begins benign bleeping bleepingcomputer block blocks both browser browsers bullet but can card check classes click clicking cloud code com/azure/active com/deployedge/microsoft com/microsoft com/news/security/hackers common composed computer concatenated concatenation concatenation: configure containing contains content copyright cover coverage creation credential credentials criterion customers defender delete deliver delivered depends deployment description detection detection/ devices different directory directory/authentication/concept directory/authentication/how directory/identity display displayed distribution due each edge email emails employees enable enabled encourage end endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce enhanced ensure enterprise entire equivalent escape evade evasive even evolving example excluded executable execution explorer extension fail fake features fido file files filtering first following from group guidance hackers handle handling harmless has have hello hidden host hour https://learn https://perception https://www identified identifies identity impact inbound including infections infostealer infostealers intelligence intrusions io/blog/evasive its keys language learndoc learndoc#block learning leveraged like links list locations lured machine machines mail majority malicious malware managed managers many markers match meet merged method methods mfa microsoft might mitigation mitigations mode monitored more multiple new newly not notice now number obfuscated observed ocid=magicti off offer office one only open opening organizations other overview own parsers part password passwordless passwords payload payloads pdf perception permission personal phishing phones point points policies policy polymorphic possible potentially prevalence prevent product prohibited prompt protection protection/howto protections pua purge ransomware rapidly rar recheck recommendations recommends reduce reduction refer reference references remind remove reproduction require requires researchers reserved response resulting revealed revealing rights rules running safe same scam scripting scripts second secured security/defender security/safe security/zero sent separate settings shipping should showed shows sight single site sites smartscreen snapshot spam specific spoofed status stop stored strictly structures succeeded success support surface sweeping sync#sync syncing takes target targets tasks technique techniques tests thection theft them then thereof these threat threats times tools trojan trusted turn typed unknown unless unwanted use used users users/ uses using variants varying vaults victims ways web websites when where which windows winrar within without workplace written your zip “yes” |
| Tags | Ransomware Spam Malware Tool Threat Cloud |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8609535 |
| Date de publication | 2024-11-11 21:00:54 (vue: 2024-11-11 22:08:28) |
| Titre | Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ [Life on a Crooked Redline: Analyser le tristement célèbre backend de l\\\\\\\\\\'infosteller \\\ ] (Recyclage) |
| Texte | ## Instantané Les chercheurs de l'ESET ont détaillé les opérations de Redline Stealer, un malware infosélérateur découvert pour la première fois en 2020 par Proofpoint, qui fonctionne sous un modèle de logiciel malveillant en tant que service (MAAS). Le malware est conçu pour voler une variété d'informations, notamment des portefeuilles de crypto-monnaie et des informations d'identification de navigateur. ## Description L'infrastructure backend de Redline Stealer a évolué, la version 2023 utilisant le cadre de communication Windows et la version 2024 utilisant une API REST pour la communication. Les modules backend, tels que redline.nodes.dbController et redline.nodes.loadBalancer, sont écrits en C # avec le Framework .NET et gérer les données d'affiliation, les publicités et les fonctionnalités du serveur. Les échantillons de logiciels malveillants peuvent être personnalisés et empêcher l'exécution dans plusieurs pays. L'opération de voleur Redline a été perturbée en avril 2023 lorsque son référentiel GitHub, utilisé comme résolveur à goutte à chair, a été supprimé. Cependant, les opérateurs se sont adaptés en distribuant de nouvelles versions des panneaux et en déplaçant leurs résolveurs à goutte dès la pâte et finalement leurs propres domaines. Les composants du serveur backend ont été infiltrés par des chercheurs qui ont créé des comptes d'affiliation et authentifiés sans acheter un abonnement. Le backend n'utilise pas de base de données traditionnelle mais stocke les enregistrements en tant qu'objets codés par Protobuf dans des fichiers individuels. Le module LoadBalancer, qui gère la création d'échantillons de logiciels malveillants, comprend désormais une fonction de génération de certificat auto-signée et a supprimé la fonctionnalité de détournement de presse-papiers dans les dernières versions. Meta Stealer, apparaissant pour la première fois en 2022, partage des similitudes de code substantielles avec Redline, suggérant une origine ou un créateur commun. Meta Stealer et Redline ont été retirés dans une opération nommée Operation Magnus. Malgré le retrait, il est prudent que Redline pourrait continuer à fonctionner dans une certaine mesure, car les panneaux déjà en cours d'exécution pourraient toujours recevoir des données, et des copies anciennes et fissurées du malware pourraient encore fonctionner. La distribution géographique des panneaux rouges hébergés et des serveurs backend indique une présence significative en Russie, en Allemagne, aux Pays-Bas, en Finlande et aux États-Unis, avec des serveurs backend principalement situés en Russie, au Royaume-Uni, aux Pays-Bas et en République tchèque. Les organismes d'application de la loi ont reçu des listes de serveurs d'authentification obtenus à partir de dossiers décryptés, contribuant à la perturbation de ces infostelleurs. En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants. Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre les nouvelles menaces et variantes polymorphes. Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete Sente Mail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2020 2022 2023 2024 2024** 2147144942&ocid=magicti 365 365/security/defender 365/security/office Analyze Backend CROOKED Cereallèbre Croooked Infosteller LIFE Life REDLINE: Redline: Sadly about accessed accounts acquired adapted advertisements advice: affiliate against age agencies aiding all already analyzing antivirus any api app appearing apps april are article attachments attack attacker authenticated authentication authenticator auto backend backend/ based been block blocks both browser browsers bullet but can caution certificate check classes click clicking clipboard cloud code com/azure/active com/en com/en/eset com/intel com/microsoft common communication components configure content continue copies copyright could countries cover coverage cracked created creation creator credential credentials criterion crooked cryptocurrency customers customized czech data database dbcontroller dead decrypted defender degree delete delivered description designed despite detailed detections/hunting detects devices different directory/authentication/concept directory/authentication/how directory/identity discovered disrupted disruption distributing distribution does domains down drop due edge email emails employing enable enabled encoded encourage ency encyclopedia endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce enforcement enhanced ensure entire equivalent eset even eventually evolved evolving example excluded executable execution feature features fido files filtering finland first following framework from function functionality functions generation geographical germany github guidance handles has have hello here hijacking host hosted hour however https://learn https://security https://www identifies identity impact inbound includes including indicates individual infamous infections infiltrated information infostealer infostealers infosteller infrastructure intelligence intrusions its keys latest law learndoc learndoc#block learning life like links list lists live loadbalancer located locations maas machine magnus mail mainly majority malicious malware malware: manage management manager many match may meet meta methods mfa microsoft might mitigation mitigations mode model module modules more moving mtb&threatid= name=spyware:win32/redline name=trojan:win32/redline name=trojan:win64/redline named net netherlands new newly nodes not now number obfuscated objects obtained ocid=magicti offer office old operate operation operations operators origin other overview own panels part password passwordless passwords pastebin permission phishing phones points policies policy polymorphic possible potentially presence prevalence prevent product profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 prohibited prompt proofpoint protection protection/howto protections protobuf provided pua purchasing purge queries ransomware rapidly read receive recheck recommendations recommends records redline redline: reduce reduction refer reference references remove removed repository reproduction republic require requires research/life researchers reserved resolver resolvers response rest rights rules running russia safe samples scam scripts security security/safe security/zero self sent server servers service settings several shares sight signed significant similarities site sites smartscreen snapshot some spam specific spoofed spyware:win32/redline states steal stealer stealers stop stores strictly subscription substantial succeeded such suggesting support surface sweeping takedown taken techniques theft thereof these threat threats times tools traditional trojan:win32/redline trojan:win64/redline trusted turn typed under united unknown unless unwanted us/deployedge/microsoft us/wdsi/threats/malware use used users uses using variants variety version versions wallets web websites welivesecurity when where which who windows without written your “yes” |
| Tags | Ransomware Spam Malware Tool Threat Legislation Cloud |
| Stories | |
| Move |
|
L'article ne semble pas avoir été repris sur un précédent.