What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-09 15:35:00 | Les logiciels malveillants de Guardzoo ciblent plus de 450 militaires du Moyen-Orient GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel (lien direct) |
Le personnel militaire des pays du Moyen-Orient est la cible d'une opération de surveillance continue qui offre un outil de collecte de données Android appelé Guardzoo.
La campagne, censée avoir commencé dès octobre 2019, a été attribuée à un acteur de menace aligné par Houthi-Ira basé sur les leurres d'application, les journaux de serveurs de commandement (C2), de ciblage de l'empreinte et de l'attaque
Military personnel from Middle East countries are the target of an ongoing surveillanceware operation that delivers an Android data-gathering tool called GuardZoo. The campaign, believed to have commenced as early as October 2019, has been attributed to a Houthi-aligned threat actor based on the application lures, command-and-control (C2) server logs, targeting footprint, and the attack |
Malware Tool Threat Mobile | ★★★ | |
 |
2024-07-09 12:00:00 | Comment prendre une longue capture d'écran de défilement sur Android, iOS et Desktop How to Take a Long, Scrolling Screenshot on Android, iOS, and Desktop (lien direct) |
Obtenez l'image entière sur n'importe quel appareil.
Get the whole picture on any device. |
Mobile | ★★★ | |
 |
2024-07-09 10:05:00 | Les chercheurs attrapent des pirates yéménites en espionnage sur les téléphones militaires du Moyen-Orient Researchers catch Yemeni hackers spying on Middle East military phones (lien direct) |
> Le farceur ferme dit que l'utilisation du cyberespionnage houthi est un signe que la surveillance mobile est une force croissante dans les conflits mondiaux.
>The firm Lookout says that Houthi use of cyberespionage is a sign that mobile surveillance is a growing force in global conflicts. |
Mobile | ★★★ | |
 |
2024-07-09 10:00:00 | Construire une solide architecture de défense en profondeur pour la transformation numérique Building a Robust Defense-in-Depth Architecture for Digital Transformation (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Exploring Defense-in-Depth Architecture security strategy for ICS in the digital transformation era. Today\'s businesses are transforming through integrating IT and OT environments, a shift that\'s enhancing efficiency and unlocking new operational capabilities. Key functionalities like remote access and telemetry collection are becoming increasingly central in this digitally integrated landscape. However, this merger also brings heightened cybersecurity risks, exposing sensitive systems to new threats. To address these vulnerabilities, a defense-in-depth architecture approach is vital. This method layers multiple security mechanisms, ensuring robust protection. Each layer is designed to intercept threats, providing a comprehensive shield against complex cyberattacks and fortifying the organization\'s digital backbone. What is Defense-in-Depth Architecture? Defense-in-Depth Architecture is a strategic approach to cybersecurity that employs multiple layers of defense to protect an organization\'s IT and OT environment. This architecture is designed to provide a comprehensive security solution by layering different types of controls and measures. Here are the five layers within this architecture: Layer 1 – Security Management This layer serves as the foundation of the defense-in-depth strategy. It involves the establishment of a cybersecurity program tailored to support the OT environment. This includes program and risk management considerations, guiding the cybersecurity strategy and influencing decisions across all other layers. It\'s essential for organizations to establish a strong security management layer before implementing other layers. Layer 2 – Physical Security Physical security measures aim to prevent accidental or deliberate damage to an organization\'s assets. This layer includes the protection of control systems, equipment, and intellectual property. It encompasses a range of measures like access control, surveillance systems, and physical barriers, ensuring the safety of both the assets and the surrounding environment. Layer 3 – Network Security Building on the foundation of physical security, this layer focuses on protecting network communications within the OT environment. It involves applying principles of network segmentation and isolation, centralizing logging, and implementing measures for malicious code protection. This layer also considers the adoption of zero trust architecture (ZTA), enhancing security by continuously evaluating authorization close to the requested resources. Layer 4 – Hardware Security Hardware security involves embedding protection mechanisms directly into the devices used within an organization. This layer establishes and maintains trust in these devices through technologies like Trusted Platform Modules (TPM) and hardware-based encryption. It ensures the integrity and security of the hardware, forming a crucial part of the overall defense strategy. Layer 5 – Software Security The final layer focuses on the security of software applications and services that support OT. It includes practices such as application allowlisting, regular patching, secure code development, and configuration management. This layer is vital for ensuring that the software used in the organization is resilient against security threats and vulnerabilities. How to Implement Defense-in-Depth Architecture | Ransomware Malware Tool Vulnerability Threat Patching Legislation Mobile Industrial | ★★ | |
 |
2024-07-09 06:32:05 | Le personnel de Microsoft China ne peut pas se connecter avec un Android, donc Redmond les achète Microsoft China staff can\\'t log on with an Android, so Redmond buys them iThings (lien direct) |
L'absence de Google \\ crée des problèmes de distribution de logiciels que Microsoft ne peut même pas gérer Microsoft China fournira aux appareils Apple avec le personnel afin qu'ils puissent se connecter aux systèmes du géant du logiciel.… | Mobile | ★★★ | |
 |
2024-07-08 19:56:14 | Microsoft Banning Android Phones pour le personnel en Chine Microsoft Banning Android Phones for Staff in China (lien direct) |
> À partir de septembre, Microsoft obligera l'utilisation des iPhones d'Apple \\ pour authentifier les identités lors de la connexion dans les machines de travail.
>Starting in September, Microsoft will mandate the the use of Apple\'s iPhones to authenticate identities when logging into work machines. |
Mobile | ★★★ | |
 |
2024-07-08 15:06:59 | Faits saillants hebdomadaires, 8 juillet 2024 Weekly OSINT Highlights, 8 July 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme de cyberattaques sophistiquées dirigés par des groupes APT alignés par l'État et des cybercriminels motivés par l'État, exploitant des vulnérabilités comme [CVE-2021-40444] (https://sip.security.microsoft.com/Intel-Profiles / CVE-2021-40444) et [CVE-2023-1389] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-1389/) pour déployer des logiciels spy et des botnets.Des acteurs parrainés par l'État tels que la tribu transparente de Kimsuky et Pakistan de la Corée du Nord se sont concentrés sur l'espionnage, le ciblage du monde universitaire et le personnel militaire avec des logiciels malveillants comme Translatext et Caprarat.Pendant ce temps, des groupes à motivation financière comme le déploiement de la pruche ont mené de vastes campagnes de logiciels malveillants.Les réseaux sociaux et les menaces basés sur le téléphone étaient également proéminents, les attaques tirant parti des applications Android, du phishing SMS et du contenu généré par l'IA sur des plateformes comme YouTube. ## Description 1. ** [Exploitation de CVE-2021-40444 dans les attaques récentes] (https: // sip.security.microsoft.com/intel-explorer/articles/15df6ab5)**: Fortiguard Labs a identifié des attaques exploitant la vulnérabilité CVE-2021-40444Microsoft Office pour déployer les logiciels espions Merkspy.Le vecteur initial est un document Word malveillant qui, à l'ouverture, déclenche le téléchargement d'un fichier HTML contenant ShellCode intégré pour charger MerkSpy dans les processus système. 2. ** [Copycop Influence Network Ciblers 2024 Élections américaines] (https://sip.security.microsoft.com/intel-explorer/articles/fc24601e) **: enregistré les rapports futurs que le réseau Copycop lié à la russe utilise un générateur générateurAI pour créer de faux sites Web et des personnages pour influencer les élections américaines de 2024.Ce réseau emploie des fesses profondes et des contenus générés par l'IA pour cibler les dirigeants politiques de l'UE et de l'Ukraine, tirant parti de points de vente conservateurs et d'hôtes basés aux États-Unis pour obscurcir ses origines. 3. ** [Déplacement de la pruche \\ est étenduCampagne de distribution de logiciels malveillants] (https://sip.security.microsoft.com/intel-explorer/articles/7b39eb7e) **:Krakenlabs a découvert une campagne à grande échelle en dépassant la pruche, en distribuant des logiciels malveillants comme Redline et Amadey via des fichiers compressés imbriqués.Ce groupe motivé financièrement a utilisé des techniques d'obscurcissement sophistiquées et des organisations ciblées dans le monde entier, avec une activité importante retracée en Europe de l'Est. 4. ** [La nouvelle extension de Chrome de Kimsuky \\ cible le monde universitaire sud-coréen] (https://sip.security.microsoft.com/intel-explorer/articles/c58faf92) **: Zscaler KneareLabz a identifié le groupe nord-coréen APT Group APT GroupKimsuky (Emerald Sleet) utilisant une nouvelle extension chromée, tradlaxt, pour voler des données aux universitaires sud-coréens.Le malware, distribué via un fichier de leurre, rassemble des informations sensibles et communique avec un serveur C2, ciblant les chercheurs axés sur la Corée du Nord. 5. ** [Mises à jour de la campagne Caprarat de Transparent Tribe \'s] (https://sip.security.microsoft.com/intel-explorer/articles/d62a3110) **: Sentinellabs a trouvé de nouveaux packages Android Caprarat liés au Pakistan-Tribu transparent aligné, ciblant le gouvernement indien et le personnel militaire.Les APK mis à jour, déguisés en applications de navigation vidéo, ont augmenté la compatibilité avec les appareils Android plus récents et continuent l'accent du groupe \\ sur la surveillance et la collecte de données. 6. ** [BOTNETS EXPLOITIONS LINUX Cloud serveurs] (https://sip.security.Microsoft.com/intel-explorer/articles/36146b72)**: Fortiguard Labs observés de botnets comme instables e | Malware Tool Vulnerability Threat Mobile Cloud | APT 36 | ★★★ |
|
2024-07-08 11:58:00 | Apple supprime les applications VPN de l'App Store russe au milieu de la pression du gouvernement Apple Removes VPN Apps from Russian App Store Amid Government Pressure (lien direct) |
Apple a supprimé un certain nombre d'applications de réseau privé virtuel (VPN) en Russie de son App Store le 4 juillet 2024, à la suite d'une demande de Watchdog des communications de l'État de Russie, Roskomnadzor, a rapporté Russian News Media.
Cela comprend les applications mobiles de 25 fournisseurs de services VPN, notamment ProtonVPN, Red Shield VPN, NORDVPN et LE VPN, selon MediaZona.Il vaut la peine de noter que Nordvpn a précédemment fermé
Apple removed a number of virtual private network (VPN) apps in Russia from its App Store on July 4, 2024, following a request by Russia\'s state communications watchdog Roskomnadzor, Russian news media reported. This includes the mobile apps of 25 VPN service providers, including ProtonVPN, Red Shield VPN, NordVPN and Le VPN, according to MediaZona. It\'s worth noting that NordVPN previously shut |
Mobile | ★★★ | |
 |
2024-07-08 11:00:00 | Comprendre Rafel Rat et son rôle dans les attaques de ransomwares mobiles Understanding Rafel RAT and Its Role in Mobile Ransomware Attacks (lien direct) |
> Rafel Rat est un type de logiciels malveillants qui permet aux attaquants de prendre un contrôle total sur un appareil mobile victime.Une fois installé, Rafel Rat peut effectuer une variété d'activités malveillantes, telles que le vol d'informations sensibles, l'accès aux fonctions de caméra et de microphone, et, de plus en plus, le déploiement de ransomwares. & # 160;Le ransomware mobile est un type de [& # 8230;]
>Rafel RAT is a type of malware that allows attackers to gain complete control over a victim’s mobile device. Once installed, Rafel RAT can perform a variety of malicious activities, such as stealing sensitive information, accessing camera and microphone functions, and, increasingly, deploying ransomware. Mobile ransomware is a type of […] |
Ransomware Malware Mobile | ★★★ | |
 |
2024-07-04 11:15:55 | Les nouveaux logiciels espions Android volent les données des joueurs et des utilisateurs de Tiktok New Android Spyware Steals Data from Gamers and TikTok Users (lien direct) |
Transparent Tribe étend Android Spyware Arsenal: les joueurs, les fans d'armes et les utilisateurs de Tiktok ciblés!
Transparent Tribe Expands Android Spyware Arsenal: Gamers, Weapons Fans, and TikTok Users Targeted! |
Mobile | APT 36 | ★★ |
 |
2024-07-04 08:16:23 | Vtee de licel \\ obtient le certificat d'évaluation de la sécurité EMVCO Licel\\'s vTEE Achieves EMVCo Security Evaluation Certificate (lien direct) |
Le VTEe de licel \\ obtient le certificat d'évaluation de la sécurité EMVCO.L'approbation EMVCO est une étape importante dans la mission de LICEL \\ pour faciliter les transactions mobiles sécurisées.
-
nouvelles commerciales
Licel\'s vTEE Achieves EMVCo Security Evaluation Certificate. EMVCo approval is a milestone in Licel\'s mission to facilitate secure mobile transactions. - Business News |
Mobile | ★★ | |
|
2024-07-04 01:16:40 | New Medusa malware variants target Android users in seven countries (lien direct) | #### Géolocations ciblées - Espagne - France - Italie - Canada - États-Unis - Royaume-Uni - t & uuml; rkiye ## Instantané L'équipe de renseignement sur les menaces de Cleafy a identifié la résurgence de la Méduse Banking Trojan pour Android, ciblant des pays, notamment la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. ## Description La nouvelle campagne, observée depuis mai 2024, présente des variantes compactes nécessitant moins d'autorisations et l'introduction de nouvelles capacités pour lancer des transactions directement à partir d'appareils compromis.Ces variantes ont été distribuées à travers 24 campagnes en utilisant le phishing SMS pour charger les logiciels malveillants via des applications compte-gouttes, attribuées à cinq botnets distincts.Notamment, l'infrastructure centrale du malware \\ récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir de profils publics de médias sociaux. Le malware de Medusa, découvert pour la première fois en 2020, est connu pour ses capacités de rat, notamment le keylogging, les contrôles d'écran et la manipulation du SMS, permettant une fraude à dispositive sophistiquée (ODF).Dans les campagnes récentes, l'équipe de Cleafy \\ a identifié un changement dans la stratégie de distribution du malware \\, avec des acteurs de menace expérimentant des "dropsiers" pour diffuser le malware via de fausses procédures de mise à jour.L'évolution du malware \\ comprend un ensemble d'autorisation réduit et rationalisé, améliorant sa furtivité et son efficacité tout en ciblant de nouvelles régions géographiques.La dernière variante Medusa réduit son empreinte sur les appareils compromis, conserve les services d'accessibilité d'Android et ajoute de nouvelles commandes, y compris la possibilité de capturer des captures d'écran et d'effectuer des actions trompeuses avec une superposition d'écran noir. Dans les dernières campagnes, cinq botnets distincts ont été identifiés, chacun avec des caractéristiques uniques et des cibles géographiques.Le malware utilise des techniques avancées telles que l'utilisation de VNC pour un contrôle en temps réel, la récupération dynamique des URL du serveur C2 à partir des médias sociaux et l'utilisation des canaux de communication de sauvegarde pour une résilience accrue.L'analyse de Cleafy \\ a également noté des changements significatifs dans la structure de commande de la variante MEDUSA, avec l'introduction de nouvelles commandes telles que la définition de superpositions d'écran noir et les applications désinstallées à distance, améliorant encore ses capacités malveillantes.Bien qu'il ne soit pas encore observé sur Google Play, le nombre croissant de cybercriminels impliqués dans l'opération de logiciels malveillants en tant que service (MAAS) suggère que les stratégies de distribution sont susceptibles de se diversifier et de devenir plus sophistiquées. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / medusa.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name = rançon: win32 / medusa.pa! Mtb & menaceID = -2147079865) ### Microsoft Defender pour le point de terminaison Les alertes suivantes peuvent indiquer l'activité associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Un ransomware actif \\ 'medusa \' a été détecté ## Recommandations Microsoft recommande que les développeurs et les analystes de sécurité se familiarisent avec les [excellentes directives de sécurité des applications Android] (https://developer.android.com/privacy-and-security/risks) fourn | Ransomware Malware Vulnerability Threat Mobile | ★★★ | |
|
2024-07-03 11:36:54 | Multiples vulnérabilités dans Google Android (03 juillet 2024) (lien direct) | De multiples vulnérabilités ont été découvertes dans Google Android. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et un problème de sécurité non spécifié par l'éditeur. - Vulnérabilités | Mobile | ★★★ | |
|
2024-07-02 21:54:47 | Capratube Remix - Transparent Tribe \\'s Android Spyware ciblant les joueurs, les passionnés d'armes CapraTube Remix - Transparent Tribe\\'s Android Spyware Targeting Gamers, Weapons Enthusiasts (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Sentinellabs a identifié quatre nouveaux packages Android Caprarat (APK) liés au groupe soupçonné d'état pakistanais, Transparent Tribe (AKA APT 36, Operation C-Major).Ces APK continuent le modèle du groupe d'intégration de logiciels espions dans les applications de navigation vidéo, mais ont introduit de nouveaux thèmes pour cibler les joueurs mobiles, les amateurs d'armes et les utilisateurs de Tiktok.La fonctionnalité de ces APK malveillants est la même;Cependant, le code a été mis à jour pour un meilleur ciblage des appareils Android plus récents. ## Description La tribu transparente (également connue sous le nom d'APT 36) cible principalement le gouvernement indien et le personnel militaire par le biais d'attaques d'ingénierie sociale.Transparent Tribe a précédemment armé les APK, notamment lors d'une campagne de septembre 2023 surnommée ["The Capratube Campaign"] (https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-micmics-youtube-to-hijack-Android-Phones /) où des APK malveillants ont été utilisés pour usurper l'identité de YouTube.Cette dernière campagne poursuit cette technique avec des prétextes d'ingénierie sociale mis à jour, une compatibilité accrue avec les versions plus anciennes du système d'exploitation Android (OS) et le ciblage élargi des versions Android plus récentes. Les nouvelles versions Caprarat utilisent WebView pour lancer des URL sur YouTube ou un site de jeu mobile appelé CrazyGames \ [. \] Com.Les URL sont obscurcies pour éviter la détection, et les applications invitent les utilisateurs à accorder plusieurs autorisations risquées, notamment: l'accès à l'emplacement GPS, lire et envoyer des SMS, lire des contacts, autoriser l'enregistrement audio et d'écran, le stockage de lecture et l'accès en écriture, d'utiliser la caméra etafficher l'historique des appels et passer des appels.Notamment, la nouvelle campagne Caprarat ne demande pas de persissions pour demander des packages d'installation, d'obtenir des comptes ou d'authentifier des comptes.Les analystes de Sentinellabs affirment que cela peut se passer de l'utilisation de Caprarat comme porte dérobée à un outil de surveillance davantage. D'autres modifications significatives de cette variante Caprarat comprennent une compatibilité accrue avec Android Oreo (8.0) et plus, assurant un fonctionnement en douceur sur les appareils Android modernes.Les versions précédentes nécessitaient Android Lollipop (5.1), ce qui est moins compatible avec les appareils actuels. La classe TCHPClient de Caprarat \\ stimule ses capacités malveillantes, collectant et envoyez des données au serveur C2 via des paramètres spécifiés.Le même nom d'hôte et l'adresse IP du serveur C2 est utilisé, lié aux activités précédentes de Transparent Tribe \\. Selon Sentinelabs, les mises à jour minimales du code Caprarat suggèrent l'accent mis sur la fiabilité et la stabilité et s'alignent sur le ciblage cohérent du groupe et l'armée indien par le groupe, qui est peu susceptible d'utiliser des versions obsolètes d'Android et peut être attirée par lesDe nouveaux thèmes APK, tels que les jeux mobiles et les armes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menace comme le folMALWODIQUE-LA LABILAGE: * [Trojan: Androidos / Androrat] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-desCription? Name = Trojan: Androidos / Androrat.A! Rfn & menaceID = -2147198280) * ## Recommandations ** Recommandations de Sentinelabs ** Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres malwares similaires en évaluant toujours les autorisations demandées par une application pour déterminer si elles sont nécessaires à la fonction prévue de l'application.Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres ma | Malware Tool Threat Mobile | APT 36 | ★★ |
|
2024-07-02 19:35:34 | Medusa Reborn: la défense robuste de Zimperium \\ Medusa Reborn: Zimperium\\'s Robust Defense (lien direct) |
> Au cours des deux dernières années, Zimperium a publié le rapport de bancs de banque mobile, offrant des recherches approfondies sur les dernières familles de logiciels malveillants, les nouvelles techniques d'attaque et l'impact mondial des chevaux de Troie bancaires.Cette recherche en cours nous permet de rester en avance sur les menaces émergentes et d'assurer une protection complète de nos utilisateurs.Sur [& # 8230;]
>For the past two years, Zimperium has released the Mobile Banking Heist Report, providing in-depth research on the latest malware families, new attack techniques, and the global impact of banking trojans. This ongoing research allows us to stay ahead of emerging threats and ensure comprehensive protection for our users. On […] |
Malware Mobile | ★★★ | |
 |
2024-07-02 16:15:00 | Le spam politique mobile est triple pour 2024 élection Mobile Political Spam Surges Threefold For 2024 Election (lien direct) |
Proofpoint a souligné comment le smirsh, l'identité et le spam érodaient la confiance dans la messagerie mobile
Proofpoint highlighted how smishing, impersonation and spam are eroding trust in mobile messaging |
Spam Mobile | ★★ | |
|
2024-07-02 14:18:44 | Google Patches 25 Flaws Android, y compris le bogue d'escalade des privilèges critiques Google Patches 25 Android Flaws, Including Critical Privilege Escalation Bug (lien direct) |
> Google expédie une mise à jour de la sécurité Android avec des correctifs pour 15 vulnérabilités, y compris un défaut de sévérité critique dans le cadre.
>Google ships an Android security update with fixes for 15 vulnerabilities, including a critical-severity flaw in Framework. |
Vulnerability Mobile | ★★★ | |
 |
2024-07-02 06:00:50 | Élection 2024 Le volume de spam politique mobile saute 3x par rapport à 2022 Midterms Election 2024 Mobile Political Spam Volume Jumps 3X Compared with 2022 Midterms (lien direct) |
U.S. voters\' appetite for digital information about the 2024 presidential election is growing. But as they consume news via digital media, including from mobile messaging channels, they must keep in mind that cybercriminals may be impersonating the sources that they trust. Research helps to explain why attackers are so focused on exploiting users via these channels. Most U.S. adults (60%) prefer to get their news through digital media. An even higher percentage (86%) will often or sometimes consume news via a smartphone, tablet or computer. And most of the U.S. voting population (97%) has access to mobile messaging. Many users have a high level of trust in mobile messaging. However, the effects of smishing, impersonation, unwanted spam and excessive political messaging puts this trust at risk. And while many voters today are aware of fake news and political impersonation in social media, they may not know that there\'s a heightened risk for harm from mobile messaging and email-based impersonation tactics. Election-related smishing tactics on the rise The use of mobile-based political messaging has skyrocketed as a way for campaigns and legitimate organizations and interest groups to reach voters. At the same time, bad actors are aggressively using the mobile messaging channel for impersonation, smishing, fraud and unwanted spam. Proofpoint research shows that U.S. smishing (text message-based phishing) attacks have increased more than 7% over the past nine months compared with the prior nine months. We compared the reported mobile political spam volumes for the first five months of the 2024 presidential election year to volumes in the same period of the 2022 midterm election year. The volumes in 2024 were 3X greater than those in 2022. Unwanted political messaging skyrockets after Trump guilty verdict In the 48-hour period after the guilty verdict in former President Donald J. Trump\'s “hush money” trial, Proofpoint threat engineers saw a 240% increase in subscriber reports of unwanted political messaging. Report volumes reached into the tens of millions. A sample of a Top 10 by volume, unwanted political message after the guilty verdict. A graph that shows the relative change in unwanted political messages after the guilty verdict. Simple steps to avoid risk This election season, voters need to proactively protect themselves against impersonation attacks. And mobile operators need to protect their end users, too. In fact, we must all maintain a healthy level of skepticism. We need to approach unsolicited messages across mobile, email and social media with extreme caution-especially when a sender asks us to take urgent action. To reduce your risk of exposure to malicious mobile messaging, follow some best practices. Do not open message attachments. And do not click on sent links. Instead, if you want to access a known website, enter the URL in your device\'s browser. Be sure to thoroughly examine all election-related digital messages to confirm that they do not pose a risk. How Proofpoint can help Proofpoint is committed to reducing the risk of fraud and unwanted messaging that falls outside acceptable use policies to help protect trust in the mobile channel. We have the world\'s most extensive threat intelligence. And we protect over 1.6 billion email and mobile accounts. For mobile network operators, we are uniquely positioned to provide automated and predictive mobile messaging protection with offerings from Cloudmark, a Proofpoint company. As a platform for mobile messaging security, it can be deployed in the operator\'s network or accessed in the cloud. When it is installed in the mobile operator\'s network, it serves as a high-performance, carrier-grade security and anti-fraud tool. It delivers a powerful, feature-rich foundation with granular controls for fine-tuning. When the platform is accessed in the cloud, our platform seamlessly protects | Spam Malware Tool Threat Mobile Cloud Commercial | ★★★★ | |
|
2024-07-01 18:30:00 | Caprarat Spyware déguisé en applications populaires menace les utilisateurs d'Android CapraRAT Spyware Disguised as Popular Apps Threatens Android Users (lien direct) |
L'acteur de menace connu sous le nom de Tribe Transparent a continué de déclencher des applications Android liées aux logiciels malveillants dans le cadre d'une campagne d'ingénierie sociale pour cibler les individus d'intérêt.
"Ces APK continuent la tendance du groupe d'intégration des logiciels espions dans les applications de navigation vidéo organisées, avec une nouvelle extension ciblant les joueurs mobiles, les amateurs d'armes et les fans de Tiktok", a déclaré le chercheur de sécurité Sentinélone Alex
The threat actor known as Transparent Tribe has continued to unleash malware-laced Android apps as part of a social engineering campaign to target individuals of interest. "These APKs continue the group\'s trend of embedding spyware into curated video browsing applications, with a new expansion targeting mobile gamers, weapons enthusiasts, and TikTok fans," SentinelOne security researcher Alex |
Threat Mobile Prediction | APT 36 | ★★★ |
|
2024-07-01 13:46:53 | Capratube Remix - Transparent Tribe \\'s Android Spyware ciblant les joueurs, les passionnés d'armes CapraTube remix - Transparent Tribe\\'s Android spyware targeting gamers, weapons enthusiasts (lien direct) |
Capratube Remix - Transparent Tribe \'s Android Spyware ciblant les joueurs, les passionnés d'armes par Sentinelone
-
mise à jour malveillant
CapraTube remix - Transparent Tribe\'s Android spyware targeting gamers, weapons enthusiasts by SentinelOne - Malware Update |
Mobile | APT 36 | ★★★ |
|
2024-07-01 13:05:00 | Démasquer le rat Rafel: comprendre la menace Unmasking Rafel RAT: Understanding the Threat (lien direct) |
> Dans le paysage en constante évolution des menaces de cybersécurité, une menace qui a émergé avec un impact significatif est Rafel Rat (Trojan d'accès à distance).En tant qu'outil insidieux utilisé par les cybercriminels, Rafel Rat présente un risque grave pour les appareils Android, ce qui rend essentiel pour les individus et les organisations de comprendre son fonctionnement et de prendre [& # 8230;]
>In the ever-evolving landscape of cybersecurity threats, one menace that has emerged with significant impact is Rafel RAT (Remote Access Trojan). As an insidious tool used by cybercriminals, Rafel RAT poses a severe risk to Android devices, making it essential for individuals and organizations to understand its workings and take […] |
Tool Threat Mobile | ★★★ | |
|
2024-07-01 11:19:51 | SentinelLabs découvre 4 nouveaux logiciels espions Android, ciblant notamment les joueurs mobiles et les fans de TikTok (lien direct) | SentinelLabs découvre 4 nouveaux logiciels espions Android, ciblant notamment les joueurs mobiles et les fans de TikTok - Malwares | Mobile | ★★★ | |
 |
2024-06-28 15:48:58 | Oui, vous pouvez enregistrer un appel téléphonique sur Android - ici \\ est comment Yes, You Can Record a Phone Call on Android - Here\\'s How (lien direct) |
Curieux de l'enregistrement des appels téléphoniques sur votre appareil Android?Suivez nos instructions étape par étape pour l'enregistrement transparent.
Curious about recording phone calls on your Android device? Follow our step-by-step instructions for seamless recording. |
Mobile | ★★★ | |
 |
2024-06-27 13:16:13 | Souciation du certificat numérique Soutenir - Défixation du certificat de configuration Sustaining Digital Certificate Security - Entrust Certificate Distrust (lien direct) |
Posted by Chrome Root Program, Chrome Security Team The Chrome Security Team prioritizes the security and privacy of Chrome\'s users, and we are unwilling to compromise on these values. The Chrome Root Program Policy states that CA certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion. It also describes many of the factors we consider significant when CA Owners disclose and respond to incidents. When things don\'t go right, we expect CA Owners to commit to meaningful and demonstrable change resulting in evidenced continuous improvement. Over the past several years, publicly disclosed incident reports highlighted a pattern of concerning behaviors by Entrust that fall short of the above expectations, and has eroded confidence in their competence, reliability, and integrity as a publicly-trusted CA Owner. In response to the above concerns and to preserve the integrity of the Web PKI ecosystem, Chrome will take the following actions. Upcoming change in Chrome 127 and higher: TLS server authentication certificates validating to the following Entrust roots whose earliest Signed Certificate Timestamp (SCT) is dated after October 31, 2024, will no longer be trusted by default. CN=Entrust Root Certification Authority - EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US CN=Entrust Root Certification Authority - G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US CN=Entrust Root Certification Authority - G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US CN=AffirmTrust Comm | Legislation Mobile Commercial | ★★★ | |
|
2024-06-27 13:14:02 | Évasion virtuelle;Récompense réelle: présentant KVMCTF de Google \\ Virtual Escape; Real Reward: Introducing Google\\'s kvmCTF (lien direct) |
Marios Pomonis, Software EngineerGoogle is committed to enhancing the security of open-source technologies, especially those that make up the foundation for many of our products, like Linux and KVM. To this end we are excited to announce the launch of kvmCTF, a vulnerability reward program (VRP) for the Kernel-based Virtual Machine (KVM) hypervisor first announced in October 2023.KVM is a robust hypervisor with over 15 years of open-source development and is widely used throughout the consumer and enterprise landscape, including platforms such as Android and Google Cloud. Google is an active contributor to the project and we designed kvmCTF as a collaborative way to help identify & remediate vulnerabilities and further harden this fundamental security boundary. Similar to kernelCTF, kvmCTF is a vulnerability reward program designed to help identify and address vulnerabilities in the Kernel-based Virtual Machine (KVM) hypervisor. It offers a lab environment where participants can log in and utilize their exploits to obtain flags. Significantly, in kvmCTF the focus is on zero day vulnerabilities and as a result, we will not be rewarding exploits that use n-days vulnerabilities. Details regarding the zero day vulnerability will be shared with Google after an upstream patch is released to ensure that Google obtains them at the same time as the rest of the open-source community. Additionally, kvmCTF uses the Google Bare Metal Solution (BMS) environment to host its infrastructure. Finally, given how critical a hypervisor is to overall system security, kvmCTF will reward various levels of vulnerabilities up to and including code execution and VM escape. | Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-06-27 10:00:00 | Analyse du vidage de mémoire: Utilisation de la chaux pour l'acquisition et la volatilité pour la configuration initiale Memory Dump Analysis: Using LiME for Acquisition and Volatility for Initial Setup (lien direct) |
Le contenu de ce post est uniquement la responsabilité de l'auteur. & nbsp;LevelBlue n'adopte ni n'approuve aucune des vues, positions ou informations fournies par l'auteur dans cet article. & Nbsp;
L'analyse du vidage de mémoire est un aspect crucial de la criminalistique numérique, offrant un instantané de la mémoire volatile d'un système à un moment spécifique.Cela peut révéler des preuves critiques telles que les processus en cours d'exécution, les connexions de réseau ouvertes et l'exécution de logiciels malveillants en mémoire que l'analyse du disque pourrait manquer.Dans un précédent blog , nous avons appris à utiliser le FMEM pour l'acquisition de la mémoire volatile.Dans ce blog, nous explorerons comment créer des vidages de mémoire à l'aide de chaux (extracteur de mémoire Linux) et comment commencer par notre processus d'analyse en utilisant le cadre de volatilité dans nos prochains blogs.
Qu'est-ce que la chaux?
Un module de noyau chargé (LKM) qui permet une acquisition de mémoire volatile à partir de périphériques basés sur Linux et Linux, tels que Android.Cela rend la chaux unique car c'est le premier outil qui permet des captures de mémoire complète sur les appareils Android.Il minimise également son interaction entre les processus d'espace utilisateur et du noyau pendant l'acquisition, ce qui lui permet de produire des captures de mémoire qui sont plus judiciques que celles d'autres outils conçus pour l'acquisition de mémoire Linux.
Pourquoi l'analyse du vidage de mémoire est-elle importante?
L'analyse du vidage de mémoire est vitale en médecine légale numérique pour plusieurs raisons:
Découvrir les données cachées: RAM contient des données transitoires non stockées sur le disque, telles que les clés de chiffrement et les logiciels malveillants en mémoire.
Comprendre l'état du système: Les vidages de mémoire fournissent un snapot des processus actifs, des fichiers ouverts et des connexions réseau.
détection d'activité malveillante: L'analyse peut révéler la présence et le comportement des logiciels malveillants qui fonctionnent principalement en mémoire.
Installation et configuration de chaux
Pour utiliser la chaux, vous devez le construire à partir de la source.Suivez ces étapes pour installer et configurer la chaux:
Clone Le référentiel de chaux: Pour clone dans le référentiel de chaux, vous pouvez utiliser Git Clone:
Git Clone https://github.com/504ensicslabs/lime.git
Assurez-vous que les en-têtes de noyau Linux et les outils de construction sont installés.
Pour installer des éléments essentiels de construction, vous pouvez utiliser: sudo apt installer build-essentiel
maintenant, accédez au sous-répertoire SRC sous Lime Directory:
cd chaux / src
compiler le module de chaux:
Maintenant, utilisez Make pour compiler le module de chaux:
faire
Chargez le module:
Utilisez INSMOD pour charger le module dans le noyau.
|
Malware Tool Mobile | ★★★ | |
|
2024-06-26 18:55:21 | NOUVEAU «Snowblind» Android Malware vole les connexions, contourne les fonctionnalités de sécurité New “Snowblind” Android Malware Steals Logins, Bypasses Security Features (lien direct) |
Le nouveau logiciel malveillant Android "Snowblind" contourne la sécurité!Il exploite SecComp de Linux \\ pour lancer des attaques évolutives et voler vos données.Téléchargez en toute sécurité, mettez à jour votre appareil et envisagez la sécurité mobile pour rester protégé.
New Android Malware "Snowblind" bypasses security! It exploits Linux\'s seccomp to launch scalable attacks and steal your data. Download safely, update your device, and consider mobile security to stay protected. |
Malware Mobile | ★★★ | |
|
2024-06-26 18:03:06 | Google supplie le tribunal pour les réparations des jeux épiques \\ 'jouer des demandes de magasin Google begs court for relief from Epic Games\\' Play Store demands (lien direct) |
137 millions de dollars nécessaires pour réviser le magasin Play Store trop grand à porter, soutient Google.Oh, et la sécurité des utilisateurs est également importante Google a demandé à un juge de Californie de refuser aux jeux Epic \\ 'demandés après que le magasin Play ait été jugé un monopole illégal, arguant que les modifications seraient trop coûteuseset créer de nouveaux risques de sécurité pour les utilisateurs d'Android.… | Mobile | ★★★ | |
|
2024-06-26 16:30:08 | Furi Labs de Hong Kong secoue la scène du smartphone avec un soupçon de Debian Hong Kong\\'s Furi Labs shakes up smartphone scene with dash of Debian (lien direct) |
Le FLX1 exécute sa propre version de \\ 'Trixie \' mais a une couche Android devconf.cz Furi Labs \\ 'Flx1 est une base de Debian basée à Debiansmartphone avec des spécifications décentes à un prix compétitif…
The FLX1 runs its own build of \'Trixie\' but has an Android layer DEVCONF.CZ Furi Labs\' FLX1 is a Debian-based smartphone with decent specs at a competitive price.… |
Mobile | ★★★ | |
|
2024-06-26 15:30:00 | Nouveau que les logiciels malveillants bancaires ciblent les clients en Asie du Sud-Est Novel Banking Malware Targets Customers in Southeast Asia (lien direct) |
Une nouvelle souche malveillante, Snowblind, contourne les mesures de sécurité dans les applications bancaires sur Android, entraînant des pertes financières et une fraude, selon Promon
A novel malware strain, Snowblind, bypasses security measures in banking apps on Android, leading to financial losses and fraud, according to Promon |
Malware Mobile | ★★★ | |
|
2024-06-26 13:08:00 | Nouvelle méduse Android Trojan cible les utilisateurs bancaires dans 7 pays New Medusa Android Trojan Targets Banking Users Across 7 Countries (lien direct) |
Les chercheurs en cybersécurité ont découvert une version mise à jour d'un troyen bancaire Android appelé Medusa qui a été utilisé pour cibler les utilisateurs au Canada, en France, en Italie, en Espagne, en Turquie, au Royaume-Uni et aux États-Unis.
Les nouvelles campagnes de fraude, observées en mai 2024 et actives depuis juillet 2023, se sont manifestées par cinq botnets différents exploités par divers affiliés, a déclaré Cleafy, la société de cybersécurité dans une analyse
Cybersecurity researchers have discovered an updated version of an Android banking trojan called Medusa that has been used to target users in Canada, France, Italy, Spain, Turkey, the U.K., and the U.S. The new fraud campaigns, observed in May 2024 and active since July 2023, manifested through five different botnets operated by various affiliates, cybersecurity firm Cleafy said in an analysis |
Mobile | ★★★ | |
 |
2024-06-26 13:00:00 | \\ 'Snowblind \\' Technique de falsification peut inciter les utilisateurs d'Android à la dérive \\'Snowblind\\' Tampering Technique May Drive Android Users Adrift (lien direct) |
Alors que le jeu de chat et de souris de Cybersecurity \\ commence à ressembler davantage à Tom et Jerry, les attaquants développent une méthode pour saper la sécurité des applications Android sans correction évidente.
As cybersecurity\'s cat-and-mouse game starts to look more like Tom and Jerry, attackers develop a method for undermining Android app security with no obvious fix. |
Mobile | ★★★ | |
|
2024-06-26 10:02:45 | ESET Research découvre AridSpy : un logiciel espion Android qui cible la Palestine et l\'Égypte (lien direct) | ESET Research découvre AridSpy : un logiciel espion Android qui cible la Palestine et l'Égypte • ESET Research a découvert AridSpy, un logiciel malveillant Android distribué via cinq sites Web dédiés. • Des occurrences d'AridSpy ont été détectées en Palestine et en Égypte, ESET les attribue avec une confiance modérée au groupe APT Arid Viper. • AridSpy imite les fonctionnalités d'applications légitimes. • Il est axé sur l'espionnage des données des utilisateurs, Il peut surveiller les applications de messagerie et exfiltrer le contenu de l'appareil, entre autres fonctionnalités. - Malwares | Mobile | APT-C-23 | ★★ |
|
2024-06-26 10:00:00 | Les tenants et aboutissants de l'évaluation de la posture de cybersécurité en 2024 The Ins and Outs of Cybersecurity Posture Assessment in 2024 (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Whether you\'re working with on-premises infrastructure, fully embracing the cloud, or running a hybrid solution, one thing is certain: a robust security posture is essential to safeguarding the environment. This article will explore today’s fundamentals of security posture assessment in both on-premises and cloud environments while briefly touching on the added complexities a hybrid setup will entail. What Is Security Posture Assessment? Before going any further, it is good to understand what security posture assessment really is and why knowing your security posture is essential to every organization. In short, a security posture assessment is a comprehensive evaluation of the currently utilized security measures safeguarding essential organizational data, processes to prevent breaches, and decisions to maintain business continuity. Any company should have a comprehensive assessment of its environment conducted at least annually. These assessments are used to identify vulnerabilities in processes and systems, point out areas for improvement, and comprehensively assess the overall resiliency of the organization’s entire IT ecosystem. The main goal is to fully understand the current security level and be able to take the necessary steps to remediate possible issues. Assessing On-Premises Security With on-premises system management, all the responsibility falls on the local IT team, so they need to have a comprehensive view of the currently deployed hardware and software to be able to successfully secure both. Let’s go over the components of such an exercise: ● Asset inventory: It is imperative to know the total scope of the organization\'s assets, including workstations, mobile devices, servers, network equipment, and all the software applications in use. This helps pinpoint outdated assets that either need to be removed from the environment or brought up-to-date with hardware or software upgrades. ● Patch management: New software vulnerabilities are being constantly unearthed, so prompt software updating and comprehensive patch management are instrumental in every environment. While it is a good idea to verify the stability of new updates first, automated patch management tools can help streamline this process. ● Network segmentation: Adversaries are always looking for opportunities for lateral movement in a network, so the isolation of systems and processes through network segmentation is an important step in limiting the potential damage a breach can cause. All in all, the evaluation of on-premises security requires an all-around review of the physical and digital protections within the organization’s data centers. This additionally includes vetting firewalls, intrusion detection systems, and access controls to thwart unauthorized access. Regular security audits and penetration tests are crucial to identify and address vulnerabilities before they can be weaponized. Assessing Cloud Security Working with cloud-based solutions keeps growing in popularity, since it effectively outsources the underlying hardware management to the cloud service provider, lessening the burden on the local IT team. This isn\'t to say that there is n | Tool Vulnerability Threat Patching Mobile Cloud | ★★★ | |
 |
2024-06-26 09:33:04 | Snowblind malware abuse de la fonction de sécurité Android pour contourner la sécurité Snowblind malware abuses Android security feature to bypass security (lien direct) |
Un nouveau vecteur d'attaque Android à partir d'un morceau de logiciel malveillant suivi car Snowblind abuse d'une fonction de sécurité pour contourner les protections anti-falsificatrices existantes dans les applications qui gèrent les données utilisateur sensibles.[...]
A novel Android attack vector from a piece of malware tracked as Snowblind is abusing a security feature to bypass existing anti-tampering protections in apps that handle sensitive user data. [...] |
Malware Mobile | ★★★ | |
|
2024-06-25 13:02:24 | Les nouvelles variantes de logiciels malveillants Medusa ciblent les utilisateurs d'Android dans sept pays New Medusa malware variants target Android users in seven countries (lien direct) |
Le Troie bancaire Medusa pour Android a réapparu après près d'un an de maintien d'un profil plus bas dans les campagnes ciblant la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie.[...]
The Medusa banking trojan for Android has re-emerged after almost a year of keeping a lower profile in campaigns targeting France, Italy, the United States, Canada, Spain, the United Kingdom, and Turkey. [...] |
Malware Mobile | ★★★ | |
|
2024-06-25 07:46:40 | Le RAT Rafel, un malware Android qui passe de l\'espionnage aux opérations de ransomware (lien direct) | Le RAT Rafel, un malware Android qui passe de l'espionnage aux opérations de ransomware • Les appareils Android compromis dans le cadre des campagnes observées se trouvent principalement aux États-Unis, en Chine, en Indonésie, en Russie, en Inde, en France, en Allemagne et au Royaume-Uni. ● La majorité des appareils compromis sont des téléphones Samsung, Xiaomi, Vivo et Huawei, preuve de la prédominance de ces marques sur le marché. ● La plupart des appareils concernés sont équipés de versions Android non actualisées, d'où l'importance d'effectuer régulièrement des mises à jour et d'appliquer des correctifs de sécurité. ● Dans certains cas, le RAT Rafel a été utilisé pour chiffrer les fichiers d'un dispositif et pour demander une rançon pour qu'ils soient déchiffrés. ● Contournement de 2FA : le malware a également été impliqué dans le vol de messages d'authentification à deux facteurs, lui permettant ainsi de contourner cette mesure de sécurité cruciale. - Malwares | Ransomware Malware Mobile | ★★★ | |
|
2024-06-24 15:50:00 | Chrome pour Android Tests Fonction qui vérifie en toute sécurité votre identifiant avec des sites Chrome for Android tests feature that securely verifies your ID with sites (lien direct) |
Google teste une nouvelle fonctionnalité appelée "API d'identification numérique" pour Chrome sur Android qui permettra aux sites Web de demander des informations d'identité à partir de portefeuilles mobiles à l'aide du système d'identité Android \\.[...]
Google is testing a new feature called "Digital Credential API" for Chrome on Android that will allow websites to request identity information from mobile wallets using Android\'s IdentityCredential system. [...] |
Mobile | ★★★ | |
|
2024-06-24 15:30:00 | Les utilisateurs d'Android ont mis en garde contre l'augmentation de la menace de logiciels malveillants de Rafel Rat Android Users Warned of Rising Malware Threat From Rafel RAT (lien direct) |
Une publication antérieure par Check Point Research avait déjà lié Rafel à l'équipe APT-C-35 / Donot
An earlier publication by Check Point Research had already linked Rafel to the APT-C-35/DoNot Team |
Malware Threat Mobile | ★★★ | |
|
2024-06-24 15:27:14 | L'utilisation généralisée de Rafel Rat met 3,9 milliards de dispositifs Android à risque Widespread Use of Rafel RAT Puts 3.9 Billion Android Devices at Risk (lien direct) |
Le nouveau Rafel Rat est un malware Android capable de voler des données, d'espionner et même de verrouiller votre téléphone.Gardez votre Android à jour, téléchargez des applications en toute sécurité et évitez les attaques de phishing pour rester en sécurité.
The new Rafel RAT is an Android malware capable of stealing data, spy on you, and even lock your phone. Keep your Android updated, download apps safely, and avoid phishing attacks to stay secure. |
Malware Mobile | ★★★ | |
|
2024-06-24 14:46:29 | La nouvelle plate-forme PHAAS permet aux attaquants de contourner l'authentification à deux facteurs New PhaaS Platform Lets Attackers Bypass Two-Factor Authentication (lien direct) |
#### Targeted Geolocations - Eastern Europe - Northern Europe - Southern Europe - Western Europe - Middle East - Central America and the Caribbean - North America - South America #### Targeted Industries - Financial Services ## Snapshot EclecticIQ analysts discovered phishing campaigns targeting financial institutions using QR codes embedded in PDF attachments to direct victims to phishing URLs. ## Description The attacks were facilitated by a Phishing-as-a-Service (PhaaS) platform called ONNX Store, which operates through Telegram bots. ONNX Store includes a two-factor authentication (2FA) bypass mechanism that intercepts 2FA requests, increasing the success rate of Business Email Compromise (BEC) attacks. The phishing pages mimic Microsoft 365 login interfaces, tricking targets into entering their authentication details. Analysts believe with high confidence that ONNX Store is likely a rebranded version of the Caffeine phishing kit, discovered by Mandiant in 2022, based on overlapping infrastructure and Telegram advertisements. The Arabic-speaking threat actor MRxC0DER is thought to be the developer and maintainer of Caffeine, and likely provides client support for ONNX Store. ONNX Store offers various services via Telegram bots, including phishing templates, webmail services, and bulletproof hosting. It leverages Cloudflare to delay takedown processes and evade detection, using features like CAPTCHA and IP proxying to protect malicious sites. ONNX Store distributes PDF documents with embedded QR codes that direct victims to phishing pages, often impersonating reputable services like Adobe or Microsoft 365. These QR codes are difficult for organizations to detect, especially on mobile devices. Most phishing campaigns target financial institutions in the EMEA and AMER regions, including banks and credit unions. The phishing kit uses encrypted JavaScript to evade detection and captures 2FA tokens in real-time, relaying them to attackers. ONNX Store also provides bulletproof hosting, allowing cybercriminals to operate without shutdown risks. The broader implications of these phishing toolkits include aiding credential theft and ransomware attacks. ## Microsoft Analysis ## Detections/Hunting Queries EclecticIQ identified two YARA Rules that can be used to identifiy potentially malicious domains or PDF Files from the ONNX Store. HUNT\_CRIME\_ONNX\_PHISHING\_URL is designed to identify specific patterns associated with malicious domains that utilize ONNX Store API such as default error messages and Telegram support links. | rule HUNT\_CRIME\_ONNX\_PHISHING\_URL { meta: description = "Searches for default ONNX Store API error" author = "Arda Buyukkaya" date = "2024-05-23" hash = "77e03c77a2bdbc09d5279fa316a35db0" strings: $contact\_link = "https://t.me/ONNXIT" $support\_message = "Please contact ONNX SUPPORT" $expired\_api = "Your API has been expired" condition: all of them } | | --- | MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR is designed to detect potenetioally malcioius QR codes with PDF files. | rule MAL\_CRIME\_ONNX\_Store\_Phishing\_PDF\_QR { meta: description = "Detects potentially malicious PDFs based on structural patterns" author = "Arda Buyukkaya" date = "2024-05-17" hash = "0250a5ba26791e7ffddb4b294d486479" strings: $pdf = "%PDF-" $magic\_classic = "%!FontType1-1." $magic\_font = /obj\s\*]\*\/Subtype\s\*\/Type1/ $magic\_font2 = /obj\s\* | Ransomware Tool Threat Mobile | ★★★ | |
|
2024-06-24 12:48:47 | Faits saillants hebdomadaires OSINT, 24 juin 2024 Weekly OSINT Highlights, 24 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a persistent focus on sophisticated cyber espionage and ransomware campaigns by state-sponsored threat actors and advanced cybercriminal groups. Key trends include the exploitation of known vulnerabilities in network devices and hypervisors by Chinese groups like Velvet Ant and UNC3886, leveraging custom malware for long-term access and data theft. Meanwhile, actors active in the Middle Eastern and South Asian such as Arid Viper and UTA0137 continue to target adversaries with trojanized apps and Linux malware, respectively. Additionally, innovative social engineering techniques, like those used by TA571 and ClearFake, highlight the evolving methods threat actors employ to deliver diverse payloads, including ransomware and information stealers. The consistent targeting of critical infrastructure, government entities, and high-value enterprises underscores the need for robust, multi-layered cybersecurity defenses to mitigate these sophisticated and persistent threats. ## Description 1. **[Arid Viper Espionage Campaigns](https://sip.security.microsoft.com/intel-explorer/articles/19d9cd7d)**: ESET researchers uncovered Arid Viper\'s espionage campaigns targeting Android users in Egypt and Palestine. The campaigns distribute trojanized apps through dedicated websites, focusing on user data espionage with their AridSpy malware, a sophisticated multistage Android spyware. 2. **[Velvet Ant Exploits F5 BIG-IP](https://sip.security.microsoft.com/intel-explorer/articles/e232b93d)**: Sygnia analysts revealed that the Chinese cyberespionage group Velvet Ant exploited vulnerabilities in F5 BIG-IP appliances to deploy malware like PlugX, enabling long-term access and data theft. These incidents emphasize the threat posed by persistent threat groups exploiting network device vulnerabilities. 3. **[UNC3886 Targets Hypervisors](https://sip.security.microsoft.com/intel-explorer/articles/faed9cc0)**: Google Cloud reported that Mandiant investigated UNC3886, a suspected Chinese cyberespionage group, targeting hypervisors with sophisticated malware and exploiting vulnerabilities in FortiOS and VMware technologies. The group utilized rootkits and custom malware for persistence and command and control. 4. **[UTA0137 Cyber-Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/bc2b5c55)**: Volexity identified Pakistan-based UTA0137 targeting Indian government entities with DISGOMOJI malware, which uses Discord for command and control. The campaign targets Linux systems, employing various persistence mechanisms and exploiting vulnerabilities like DirtyPipe for privilege escalation. 5. **[Proofpoint Highlights Copy-Paste Attacks](https://sip.security.microsoft.com/intel-explorer/articles/c75089e9)**: Proofpoint researchers reported that threat actors, including TA571 and ClearFake, are using techniques that prompt users to copy and paste malicious PowerShell scripts. These campaigns deliver various malware, including DarkGate and NetSupport, through clever social engineering tactics that trick users into compromising their systems. 6. **[Shinra and Limpopo Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b7a96cbd)**: FortiGuard Labs identified the emergence of Shinra and Limpopo ransomware strains in early 2024. Shinra ransomware exfiltrates data before encryption, while Limpopo targets ESXi environments, affecting multiple countries and causing significant disruptions. 7. **[CVE-2024-4577 Vulnerability Exploits](https://sip.security.microsoft.com/intel-explorer/articles/8635c515)**: Cyble Global Sensor Intelligence detected multiple scanning attempts exploiting CVE-2024-4577, a vulnerability in Windows affecting PHP installations. Threat actors are using this flaw to deploy ransomware and malware, emphasizing the urgent need for organizations to upgrade PHP versions to mitigate risks. 8. **[SmallTiger Malware Targets South Korea](https://sip.security.microsoft.com/intel-explorer/articles/3f29a6c8)**: The AhnLab Securi | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | APT-C-23 | ★★★ |
|
2024-06-24 10:34:00 | Multiples acteurs de menace déploient un rat Rafel open source pour cibler les appareils Android Multiple Threat Actors Deploying Open-Source Rafel RAT to Target Android Devices (lien direct) |
Les acteurs de menaces multiples, y compris les groupes de cyber-espionnage, utilisent un outil d'administration à distance Android open source appelé Rafel Rat pour atteindre leurs objectifs opérationnels en le faisant passer pour Instagram, WhatsApp et diverses applications de commerce électronique et antivirus.
"Il offre aux acteurs malveillants une boîte à outils puissante pour l'administration et le contrôle à distance, permettant une gamme d'activités malveillantes
Multiple threat actors, including cyber espionage groups, are employing an open-source Android remote administration tool called Rafel RAT to meet their operational objectives by masquerading it as Instagram, WhatsApp, and various e-commerce and antivirus apps. "It provides malicious actors with a powerful toolkit for remote administration and control, enabling a range of malicious activities |
Tool Threat Mobile | ★★ | |
|
2024-06-24 00:45:11 | Softbank Boss dit \\ 'Superintelligence artificielle \\' pourrait être dans trois ans SoftBank boss says \\'artificial superintelligence\\' could be three years away (lien direct) |
plus: Huawei plus près de divorcer Android;L'Inde sonde les entrepôts d'Amazon;Singapour obtient des balayeurs de rue autonomes Asie en Brief Le PDG de SoftBank, Masayoshi Son, la semaine dernière, a déclaré aux investisseurs qu'il pensait qu'une "superintelligence artificielle" qui a 10 000 fois l'intelligence des humains pourrait arriver en aussi peuComme trois ans.…
Plus: Huawei closer to divorcing Android; India probes Amazon warehouses; Singapore gets autonomous street sweepers Asia In Brief SoftBank CEO Masayoshi Son last week told investors he believes an "artificial superintelligence" that has 10,000 times the intelligence of humans could arrive in as little as three years.… |
Mobile | ★★★ | |
|
2024-06-22 10:19:38 | Rafel Rat cible les téléphones Android obsolètes dans des attaques de ransomwares Rafel RAT targets outdated Android phones in ransomware attacks (lien direct) |
Un logiciel malveillant Android open source nommé \\ 'rafel rat \' est largement déployé par plusieurs cybercriminels pour attaquer les appareils obsolètes, certains visant à les verrouiller avec un module de ransomware qui exige le paiement sur Telegram.[...]
An open-source Android malware named \'Rafel RAT\' is widely deployed by multiple cybercriminals to attack outdated devices, some aiming to lock them down with a ransomware module that demands payment on Telegram. [...] |
Ransomware Malware Mobile | ★★★ | |
|
2024-06-21 10:26:46 | Tor Browser 13.5 apporte des améliorations Android, une meilleure gestion des ponts Tor Browser 13.5 brings Android enhancements, better bridge management (lien direct) |
Le projet TOR a publié TOR Browser 13.5, apportant plusieurs améliorations et améliorations pour les versions Android et Desktop.[...]
The Tor Project has released Tor Browser 13.5, bringing several improvements and enhancements for Android and desktop versions. [...] |
Mobile | ★★★ | |
|
2024-06-21 02:03:23 | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns (lien direct) |
#### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T | Malware Threat Mobile | APT-C-23 | ★★ |
|
2024-06-20 20:42:22 | Le bogue de débordement à haut risque dans les puces Intel a probablement un impact sur les centaines de modèles PC High-Risk Overflow Bug in Intel Chips Likely Impacts 100s of PC Models (lien direct) |
La vulnérabilité ancienne, mais nouvellement divulguée, est enterrée profondément dans des ordinateurs personnels, des serveurs et des appareils mobiles, et leurs chaînes d'approvisionnement, faisant de la remédiation.
The old, but newly disclosed, vulnerability is buried deep inside personal computers, servers, and mobile devices, and their supply chains, making remediation a headache. |
Vulnerability Mobile | ★★ | |
|
2024-06-20 19:52:00 | Les chercheurs découvrent la vulnérabilité UEFI affectant plusieurs processeurs Intel Researchers Uncover UEFI Vulnerability Affecting Multiple Intel CPUs (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'un défaut de sécurité désormais réglé dans le micrologiciel Phoenix SecureCore UEFI qui affecte plusieurs familles de bourse Intel Core et de processeurs mobiles.
Suivi comme CVE-2024-0762 (score CVSS: 7,5), la vulnérabilité "UeficanhazBufferOverflow" a été décrite comme un cas de débordement de tampon résultant de l'utilisation d'une variable dangereuse dans la plate-forme de confiance
Cybersecurity researchers have disclosed details of a now-patched security flaw in Phoenix SecureCore UEFI firmware that affects multiple families of Intel Core desktop and mobile processors. Tracked as CVE-2024-0762 (CVSS score: 7.5), the "UEFIcanhazbufferoverflow" vulnerability has been described as a case of a buffer overflow stemming from the use of an unsafe variable in the Trusted Platform |
Vulnerability Mobile | ★★★ | |
 |
2024-06-20 15:00:36 | RAFEL RAT, Android Malware de l'espionnage aux opérations de ransomware Rafel RAT, Android Malware from Espionage to Ransomware Operations (lien direct) |
> En ce qui concerne les appareils mobiles, Android est le système d'exploitation le plus populaire et le plus utilisé avec plus de 3,9 milliards d'utilisateurs actifs dans plus de 190 pays.Les trois quarts de tous les appareils mobiles fonctionnent sur Android.Cependant, avec son adoption généralisée et son environnement ouvert vient le risque d'activité malveillante.Android Malware, un logiciel malveillant conçu pour cibler les appareils Android, constitue une menace importante pour les utilisateurs & # 8217;confidentialité, sécurité et intégrité des données.Ces programmes malveillants se présentent sous diverses formes, y compris les virus, les chevaux de Troie, les ransomwares, les logiciels espions et les logiciels publicitaires, et ils peuvent infiltrer des appareils via plusieurs vecteurs, tels que les téléchargements d'applications, les sites Web malveillants, les attaques de phishing et même [& # 8230;]
>When it comes to mobile devices, Android is the most popular and used operating system with over 3.9 billion active users in over 190 countries. Three-quarters of all mobile devices run on Android. However, with its widespread adoption and open environment comes the risk of malicious activity. Android malware, a malicious software designed to target Android devices, poses a significant threat to users’ privacy, security, and data integrity. These malicious programs come in various forms, including viruses, Trojans, ransomware, spyware, and adware, and they can infiltrate devices through multiple vectors, such as app downloads, malicious websites, phishing attacks, and even […] |
Ransomware Malware Threat Mobile | ★★ |
To see everything:
Our RSS (filtrered)
