What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-03-26 23:15:07 | CVE-2023-1644 (lien direct) | Une vulnérabilité a été trouvée dans IOBIT Malware Fighter 9.4.0.776 et classifiée comme problématique.Ce problème est la fonction 0x8018e010 dans la bibliothèque imfcameraprotect.sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Il est possible de lancer l'attaque de l'hôte local.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-224024.
A vulnerability was found in IObit Malware Fighter 9.4.0.776 and classified as problematic. Affected by this issue is the function 0x8018E010 in the library IMFCameraProtect.sys of the component IOCTL Handler. The manipulation leads to denial of service. It is possible to launch the attack on the local host. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-224024. |
Malware Vulnerability Guideline | ||
|
2023-03-26 23:15:07 | CVE-2023-1646 (lien direct) | Une vulnérabilité a été trouvée dans Iobit Malware Fighter 9.4.0.776.Il a été déclaré comme critique.Cette vulnérabilité affecte la fonction 0x8018e000 / 0x8018e004 dans la bibliothèque imfcameraprotect.sys du gestionnaire IOCTL du composant.La manipulation conduit à un débordement de tampon basé sur la pile.Une attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.VDB-224026 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in IObit Malware Fighter 9.4.0.776. It has been declared as critical. This vulnerability affects the function 0x8018E000/0x8018E004 in the library IMFCameraProtect.sys of the component IOCTL Handler. The manipulation leads to stack-based buffer overflow. An attack has to be approached locally. The exploit has been disclosed to the public and may be used. VDB-224026 is the identifier assigned to this vulnerability. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:07 | CVE-2023-1642 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Iobit Malware Fighter 9.4.0.776.La fonction est la fonction 0x222034 / 0x222038 / 0x22203C / 0x222040 dans la bibliothèque ObcallBackProcess.SYS du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.L'accès local est nécessaire pour aborder cette attaque.L'exploit a été divulgué au public et peut être utilisé.VDB-224022 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, was found in IObit Malware Fighter 9.4.0.776. Affected is the function 0x222034/0x222038/0x22203C/0x222040 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. Local access is required to approach this attack. The exploit has been disclosed to the public and may be used. VDB-224022 is the identifier assigned to this vulnerability. |
Malware Guideline | ||
|
2023-03-26 22:15:07 | CVE-2023-1643 (lien direct) | Une vulnérabilité a été trouvée dans IOBIT Malware Fighter 9.4.0.776 et classifiée comme problématique.Cette vulnérabilité est la fonction 0x8001e000 / 0x8001e004 / 0x8001e018 / 0x8001e01c / 0x8001e024 / 0x8001e040 dans la bibliothèque imfhpregfilter.sys du gestionnaire de composant IOCTL.La manipulation conduit au déni de service.Attaquer localement est une exigence.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-224023.
A vulnerability has been found in IObit Malware Fighter 9.4.0.776 and classified as problematic. Affected by this vulnerability is the function 0x8001E000/0x8001E004/0x8001E018/0x8001E01C/0x8001E024/0x8001E040 in the library ImfHpRegFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. Attacking locally is a requirement. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-224023. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:06 | CVE-2023-1640 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans IOBIT MALWORE Fighter 9.4.0.776.Cette vulnérabilité affecte la fonction 0x222010 dans la bibliothèque obcallbackprocess.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.L'attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-224020.
A vulnerability classified as problematic was found in IObit Malware Fighter 9.4.0.776. This vulnerability affects the function 0x222010 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-224020. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:06 | CVE-2023-1641 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Iobit Malware Fighter 9.4.0.776.Ce problème affecte la fonction 0x222018 dans la bibliothèque obcallbackprocess.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Une attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-224021 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, has been found in IObit Malware Fighter 9.4.0.776. This issue affects the function 0x222018 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. An attack has to be approached locally. The exploit has been disclosed to the public and may be used. The identifier VDB-224021 was assigned to this vulnerability. |
Malware Guideline | ||
|
2023-03-26 21:15:06 | CVE-2023-1638 (lien direct) | Une vulnérabilité a été trouvée dans Iobit Malware Fighter 9.4.0.776.Il a été considéré comme problématique.Ce problème est la fonction 0x8001e024 / 0x8001e040 dans la bibliothèque imfregistryFilter.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Attaquer localement est une exigence.L'exploit a été divulgué au public et peut être utilisé.VDB-224018 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in IObit Malware Fighter 9.4.0.776. It has been rated as problematic. Affected by this issue is the function 0x8001E024/0x8001E040 in the library ImfRegistryFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. Attacking locally is a requirement. The exploit has been disclosed to the public and may be used. VDB-224018 is the identifier assigned to this vulnerability. |
Malware Vulnerability Guideline | ||
|
2023-03-26 21:15:06 | CVE-2023-1639 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans IOBIT MALWORE Fighter 9.4.0.776.Cela affecte la fonction 0x8001e04c dans la bibliothèque imfregistryFilter.SYS du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Il est possible de lancer l'attaque de l'hôte local.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-224019.
A vulnerability classified as problematic has been found in IObit Malware Fighter 9.4.0.776. This affects the function 0x8001E04C in the library ImfRegistryFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. It is possible to launch the attack on the local host. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-224019. |
Malware Vulnerability Guideline | ||
 |
2023-03-26 10:46:56 | Emotet Malware distribué sous forme de faux formulaires fiscaux W-9 à partir de l'IRS [Emotet malware distributed as fake W-9 tax forms from the IRS] (lien direct) | Une nouvelle campagne Emotet Phishing vise les contribuables américains en usurpant l'identité des formulaires fiscaux W-9 qui auraient envoyé par l'Internal Revenue Service et les entreprises avec lesquelles vous travaillez.[...]
A new Emotet phishing campaign is targeting U.S. taxpayers by impersonating W-9 tax forms allegedly sent by the Internal Revenue Service and companies you work with. [...] |
Malware | ★★★ | |
 |
2023-03-24 13:00:00 | Nouvelles attaques cible les canaux de service à la clientèle en ligne [New Attack Targets Online Customer Service Channels] (lien direct) | > Un groupe d'attaquant inconnu cible les agents du service client dans les sociétés de jeu et de jeu avec un nouvel effort de logiciel malveillant.Connu sous le nom de IceBreaker, le code est capable de voler des mots de passe et des cookies, d'expulser les fichiers, de prendre des captures d'écran et d'exécuter des scripts VBS personnalisés.Bien que ce soient des fonctions assez standard, ce qui distingue le brise-glace, c'est son vecteur d'infection.Malveillant [& # 8230;]
>An unknown attacker group is targeting customer service agents at gambling and gaming companies with a new malware effort. Known as IceBreaker, the code is capable of stealing passwords and cookies, exfiltrating files, taking screenshots and running custom VBS scripts. While these are fairly standard functions, what sets IceBreaker apart is its infection vector. Malicious […] |
Malware | ★★ | |
|
2023-03-24 10:47:57 | \\ 'amer \\' Hackers d'espionnage cibler les orgs d'énergie nucléaire chinoise [\\'Bitter\\' espionage hackers target Chinese nuclear energy orgs] (lien direct) | Un groupe de piratage de cyberespionnage suivi sous le nom de \\ 'amer APT \' a récemment été vu ciblant l'industrie chinoise de l'énergie nucléaire en utilisant des e-mails de phishing pour infecter les appareils avec des téléchargeurs de logiciels malveillants.[...]
A cyberespionage hacking group tracked as \'Bitter APT\' was recently seen targeting the Chinese nuclear energy industry using phishing emails to infect devices with malware downloaders. [...] |
Malware General Information | ★★ | |
 |
2023-03-23 23:00:00 | Chinaz ddos bot malware distribué aux serveurs SSH Linux [ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a récemment découvert que les logiciels malveillants du bot DDOServeurs Linux SSH.En tant que l'un des groupes de menaces chinoises découverts pour la première fois vers 2014, le groupe Chinaz installe divers bots DDOLe groupe comprend Xorddos, Aesddos, Billgates et Mrblack.Cet article couvrira le bot DDOS connu sous le nom de chinaz ou chinaz ddoscient.1. Attaquez ...
AhnLab Security Emergency response Center (ASEC) has recently discovered the ChinaZ DDoS Bot malware being installed on inadequately managed Linux SSH servers. As one of the Chinese threat groups that were first discovered around 2014, the ChinaZ group installs various DDoS bots on Windows and Linux systems. [1] Major DDoS bots assumed to have been created by the ChinaZ threat group include XorDDoS, AESDDos, BillGates, and MrBlack. This article will cover the DDoS bot known as ChinaZ or ChinaZ DDoSClient. 1. Attack... |
Malware Threat | ★★ | |
|
2023-03-23 22:00:00 | OneNote Malware déguisé en formulaire de compensation (Kimsuky) [OneNote Malware Disguised as Compensation Form (Kimsuky)] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a découvert la distribution d'un malware Onenote déguisé en forme liée à une formeà la compensation.Le fichier confirmé est usurpé l'identité du même centre de recherche que le logiciel malveillant de type LNK couvert dans l'article ci-dessous.Sur la base de l'activité malveillante identique effectuée par les fichiers VBS, l'équipe a déduit que le même acteur de menace est derrière les deux incidents.Malware distribué déguisé en fichier de mot de passe comme indiqué dans la figure ci-dessous, une page discutant de la compensation ...
AhnLab Security Emergency response Center (ASEC) has discovered the distribution of a OneNote malware disguised as a form related to compensation. The confirmed file is impersonating the same research center as the LNK-type malware covered in the post below. Based on the identical malicious activity performed by the VBS files, the team has deduced that the same threat actor is behind both incidents. Malware Distributed Disguised as a Password File As shown in the figure below, a page discussing compensation... |
Malware Threat | ★★ | |
 |
2023-03-23 21:30:00 | Nouveau malware Android cible les clients de 450 institutions financières dans le monde [New Android Malware Targets Customers of 450 Financial Institutions Worldwide] (lien direct) | "Nexus" est le dernier d'une gamme vaste et croissante de chevaux de Troie ciblant la banque mobile et les applications de crypto-monnaie.
"Nexus" is the latest in a vast and growing array of Trojans targeting mobile banking and cryptocurrency applications. |
Malware | ★★★★ | |
 |
2023-03-23 17:30:00 | «Opération Tained Love» alignée sur la Chine cible les fournisseurs de télécommunications du Moyen-Orient [China-Aligned "Operation Tainted Love" Targets Middle East Telecom Providers] (lien direct) | Le déploiement de logiciels malveillants sur le vol d'identification personnalisés est la principale nouveauté de la nouvelle campagne
The deployment of custom credential theft malware is the main novelty of the new campaign |
Malware | ★★ | |
 |
2023-03-23 14:18:00 | Le dernier Intel sur les essuie-glaces [The Latest Intel on Wipers] (lien direct) | La recherche Fortiguard Labs a révélé que les logiciels malveillants d'essuie-glace ont décollé dans la seconde moitié de 2022. Dans cet article, découvrez la croissance des logiciels malveillants d'essuie-glace et comment éviter un essuie.
FortiGuard Labs research found wiper malware took off in the second half of 2022. In this article learn about the growth of wiper malware and how to avoid a wipeout. |
Malware Studies | ★★★ | |
 |
2023-03-23 14:10:11 | Agences allemandes et sud-coréennes alertes des attaques de Kimsuky \\ [German and South Korean Agencies Alerts of Kimsuky\\'s Attacks] (lien direct) | Les agences de renseignement allemandes et sud-coréennes ont émis un avertissement conjoint contre les tactiques de cyberattaque croissantes d'un groupe de pirates nord-coréen appelé Kimsuky.Le groupe, soutenu par le gouvernement nord-coréen, a ciblé des organisations dans les deux pays avec des campagnes de phishing sophistiquées et des attaques de logiciels malveillants.L'avertissement intervient alors que les cyberattaques continuent [& # 8230;]
German and South Korean intelligence agencies have issued a joint warning against the increasing cyber-attack tactics of a North Korean hacker group called Kimsuky. The group, believed to be backed by the North Korean government, has been targeting organizations in both countries with sophisticated phishing campaigns and malware attacks. The warning comes as cyber-attacks continue […] |
Malware General Information | ★★★ | |
|
2023-03-23 11:09:06 | Les logiciels malveillants de volume d'informations Python utilisent Unicode pour échapper à la détection [Python info-stealing malware uses Unicode to evade detection] (lien direct) | Un package Python malveillant sur PYPI utilise Unicode comme technique d'obscurcissement pour échapper à la détection tout en volant et en exfiltrant les développeurs \\ 'des informations d'identification et d'autres données sensibles à partir de dispositifs compromis.[...]
A malicious Python package on PyPI uses Unicode as an obfuscation technique to evade detection while stealing and exfiltrating developers\' account credentials and other sensitive data from compromised devices. [...] |
Malware Hack | ★★★ | |
 |
2023-03-23 10:00:00 | Blackguard Stealer étend ses capacités dans une nouvelle variante [BlackGuard stealer extends its capabilities in new variant] (lien direct) | AT&T Alien Labs researchers have discovered a new variant of BlackGuard stealer in the wild, infecting using spear phishing attacks. The malware evolved since its previous variant and now arrives with new capabilities.
Key takeaways:
BlackGuard steals user sensitive information from a wide range of applications and browsers.
The malware can hijack crypto wallets copied to clipboard.
The new variant is trying to propagate through removable media and shared devices.
Background
BlackGuard stealer is malware as a service sold in underground forums and Telegram since 2021, when a Russian user posted information about a new malware called BlackGuard. It was offered for $700 lifetime or $200 monthly, claiming it can collect information from a wide range of applications and browsers.
In November 2022, an update for BlackGuard was announced in Telegram by its developer. Along with the new features, the malware author suggests free help with installing the command & control panel (Figure 1)
Figure 1. Announcement of new malware version in its Telegram channel.
Analysis
When executed, BlackGuard first checks if another instance is running by creating a Mutex.
Then to ensure it will survive a system reboot, the malware adds itself to the “Run” registry key. The malware also checks if it\'s running in debugger mode by checking TickCount and checking if the current user belongs to a specific list to determine whether it is running in a malware sandbox environment. (Figure 2)
Figure 2. Malware will avoid execution if running under specific user names.
Now all is ready for stealing the user’s sensitive data. It collects all stolen information in a folder where each piece of data is stored in a specific folder, such as Browsers, Files, Telegram, etc. (Figure 3)
Figure 3. BlackGuard main folder with stolen data divided into folders.
When it finishes collecting sensitive data, the malware will zip the main folder using the password “xNET3301LIVE” and send it to its command & control. (Figure 4)
Figure 4. Zipping exfiltrated data with password and uploading to command & control.
Browser stealth
Along with collecting cookies, history and downloads of different browsers, BlackGuard also looks for the existence of special files and folders of different browsers. (This includes “Login Data”, AutoFill, History and Downloads. (Figure 5)
Figure 5. Collecting browser information.
Below is the list of browsers BlackGuard is looking for:
Chromium
|
Malware Tool Threat General Information | ★★★ | |
 |
2023-03-23 09:53:52 | Operation Tained Love |Les APT chinois ciblent les opérateurs de télécommunications dans de nouvelles attaques Operation Tainted Love | Chinese APTs Target Telcos in New Attacks (lien direct) |
L'acteur de Cyber Espionage déploie des logiciels malveillants de vol d'identification personnalisés dans une nouvelle campagne ciblant le secteur des télécommunications.
Cyber espionage actor deploys custom credential theft malware in new campaign targeting the telecoms sector. |
Malware | ★★★ | |
 |
2023-03-23 00:00:00 | Emballez-le secrètement: les stratégies furtives mises à jour de la Terre [Pack it Secretly: Earth Preta\\'s Updated Stealthy Strategies] (lien direct) | Après des mois d'enquête, nous avons constaté que plusieurs logiciels malveillants non divulgués et outils intéressants utilisés à des fins d'exfiltration étaient utilisés par la Terre Preta.Nous avons également observé que les acteurs de la menace modifiaient activement leurs outils, tactiques et procédures (TTP) pour contourner les solutions de sécurité.Dans cette entrée de blog, nous présenterons et analyserons les autres outils et les logiciels malveillants utilisés par l'acteur de menace.
After months of investigation, we found that several undisclosed malware and interesting tools used for exfiltration purposes were being used by Earth Preta. We also observed that the threat actors were actively changing their tools, tactics, and procedures (TTPs) to bypass security solutions. In this blog entry, we will introduce and analyze the other tools and malware used by the threat actor. |
Malware Threat Studies | ★★★ | |
 |
2023-03-23 00:00:00 | AMADEY INFO-SELECTEUR: Exploiter les vulnérabilités du jour pour lancer des informations sur le vol de logiciels malveillants [Amadey Info-Stealer: Exploiting N-Day Vulnerabilities to Launch Information Stealing Malware] (lien direct) | Le malware du voleur d'informations Amadey a été détecté sur plus de 30 clients entre août et décembre 2022, couvrant diverses régions et verticales de l'industrie.Ce blog met en évidence la résurgence des logiciels malveillants en tant que service (MAAS) et la mise à profit des vulnérabilités n-days existantes dans les campagnes de smokeloder pour lancer Amadey sur les clients des clients \\ '.Cette enquête faisait partie des travaux de recherche sur la menace continue de DarkTrace \\ dans les efforts pour identifier et contextualiser les menaces à travers la flotte de Darktrace, en s'appuyant sur les idées de l'IA grâce à une analyse humaine collaborative.
Amadey Info-stealer malware was detected across over 30 customers between August and December 2022, spanning various regions and industry verticals. This blog highlights the resurgence of Malware as a Service (MaaS) and the leveraging of existing N-Day vulnerabilities in SmokeLoader campaigns to launch Amadey on customers\' networks. This investigation was part of Darktrace\'s continuous Threat Research work in efforts to identify and contextualize threats across the Darktrace fleet, building off of AI insights through collaborative human analysis. |
Malware Threat General Information | ★★★ | |
|
2023-03-22 23:50:00 | ASEC Weekly Malware Statistics (13 mars 2023 & # 8211; 19 mars 2023) [ASEC Weekly Malware Statistics (March 13th, 2023 – March 19th, 2023)] (lien direct) | L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB utilise le système d'analyse automatique ASEC Rapit pour catégoriser et répondreaux logiciels malveillants connus.Ce message répertorie les statistiques hebdomadaires collectées du 13 mars 2023 (lundi) au 19 mars 2023 (dimanche).Pour la catégorie principale, InfostEaler s'est d'abord classé avec 43,8%, suivi de la porte dérobée avec 34,5%, du téléchargeur avec 18,7%, des ransomwares avec 1,7%, des logiciels malveillants bancaires avec 0,9% et de la co -minner avec 0,4%.Top 1 & # 8211; & # 160;Redline Redline s'est classée en première place avec 23,4%.Le malware vole ...
AhnLab Security Emergency response Center (ASEC) analysis team uses the ASEC automatic analysis system RAPIT to categorize and respond to known malware. This post will list weekly statistics collected from March 13th, 2023 (Monday) to March 19th, 2023 (Sunday). For the main category, Infostealer ranked first with 43.8%, followed by backdoor with 34.5%, downloader with 18.7%, ransomware with 1.7%, banking malware with 0.9%, and CoinMiner with 0.4%. Top 1 – Redline RedLine ranked first place with 23.4%. The malware steals... |
Ransomware Malware General Information | ★★ | |
 |
2023-03-22 23:11:08 | Google suspend l'application de commerce électronique chinois Pinduoduo sur les logiciels malveillants [Google Suspends Chinese E-Commerce App Pinduoduo Over Malware] (lien direct) | Google dit qu'il a suspendu l'application pour le géant du commerce électronique chinois Pinduoduo après que les logiciels malveillants ont été trouvés dans les versions de l'application.Cette décision intervient quelques semaines seulement après que les chercheurs en sécurité chinois ont publié une analyse suggérant que l'application populaire de commerce électronique a cherché à saisir le contrôle total des appareils affectés en exploitant plusieurs vulnérabilités de sécurité dans une variété de smartphones Android.
Google says it has suspended the app for the Chinese e-commerce giant Pinduoduo after malware was found in versions of the app. The move comes just weeks after Chinese security researchers published an analysis suggesting the popular e-commerce app sought to seize total control over affected devices by exploiting multiple security vulnerabilities in a variety of Android-based smartphones. |
Malware Studies | ★★ | |
|
2023-03-22 23:00:00 | Ransomware du Nevada distribué en Corée [Nevada Ransomware Being Distributed in Korea] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a découvert que les cas de ransomware du Nevada sont distribués au cours de l'équipe & # 8217Surveillance interne.Le Nevada est un logiciel malveillant écrit en utilisant Rust comme base et sa tendance à ajouter le & # 8220; .nevada & # 8221;L'extension des fichiers qu'il infecte est son trait déterminant.Après avoir chiffré les répertoires, il génère des notes de rançon avec le nom de fichier & # 8220; readme.txt & # 8221;Dans chaque répertoire.Ces notes contiennent un lien de navigateur TOR pour les paiements de rançon.1. Caractéristiques principales du ransomware du Nevada comme indiqué dans le ...
AhnLab Security Emergency response Center (ASEC) discovered cases of the Nevada ransomware being distributed during the team’s internal monitoring. Nevada is a malware written using Rust as its basis and its tendency of adding the “.NEVADA” extension to the files it infects is its defining trait. After encrypting directories, it generates ransom notes with the filename “README.txt” in each directory. These notes contain a Tor browser link for ransom payments. 1. Main Features of Nevada Ransomware As shown in the... |
Ransomware Malware General Information | ★★ | |
 |
2023-03-22 18:35:00 | Les journalistes branchent un lecteur USB inconnu envoyé par la poste - il a explosé sur son visage [Journalist plugs in unknown USB drive mailed to him-it exploded in his face] (lien direct) | Les explosifs remplacent les logiciels malveillants comme la chose la plus effrayante qu'un bâton USB peut cacher.
Explosives replace malware as the scariest thing a USB stick may hide. |
Malware | ★★★★ | |
 |
2023-03-22 17:54:00 | Arsenal évolutif de Scarcruft \\: les chercheurs révèlent de nouvelles techniques de distribution de logiciels malveillants [ScarCruft\\'s Evolving Arsenal: Researchers Reveal New Malware Distribution Techniques] (lien direct) | L'acteur de menace persistante avancée nord-coréenne (APT) surnommé Scarcruft utilise des fichiers HTML (CHM) compilés compilés par Microsoft armé pour télécharger des logiciels malveillants supplémentaires.
Selon plusieurs rapports d'Ahnlab Security Emergency Response Center (ASEC), de Sekoia.io et de Zscaler, les résultats illustrent les efforts continus du groupe pour affiner et réorganiser ses tactiques pour contourner la détection.
"
The North Korean advanced persistent threat (APT) actor dubbed ScarCruft is using weaponized Microsoft Compiled HTML Help (CHM) files to download additional malware. According to multiple reports from AhnLab Security Emergency response Center (ASEC), SEKOIA.IO, and Zscaler, the findings are illustrative of the group\'s continuous efforts to refine and retool its tactics to sidestep detection. " |
Malware Threat General Information Cloud | APT 37 | ★★ |
|
2023-03-22 14:28:00 | Les forfaits Rogue Nuget infectent les développeurs .NET avec des logiciels malveillants crypto-nocaux [Rogue NuGet Packages Infect .NET Developers with Crypto-Stealing Malware] (lien direct) | Le référentiel NuGet est la cible d'une nouvelle "attaque sophistiquée et très malveillante" visant à infecter les systèmes de développeurs .NET avec des logiciels malveillants de voleur de crypto-monnaie.
Les 13 packages Rogue, qui ont été téléchargés plus de 160 000 fois au cours du mois dernier, ont depuis été retirés.
"Les packages contenaient un script PowerShell qui s'exécuterait lors de l'installation et déclencherait un téléchargement d'un \\ '
The NuGet repository is the target of a new "sophisticated and highly-malicious attack" aiming to infect .NET developer systems with cryptocurrency stealer malware. The 13 rogue packages, which were downloaded more than 160,000 times over the past month, have since been taken down. "The packages contained a PowerShell script that would execute upon installation and trigger a download of a \' |
Malware | ★★ | |
 |
2023-03-22 13:00:00 | Tendances des logiciels malveillants: ce qui est l'ancien est encore nouveau [Malware Trends: What\\'s Old is Still New] (lien direct) | > Beaucoup des cybercriminels les plus réussis sont astucieux;Ils veulent un bon retour sur investissement, mais ils ne veulent pas avoir à réinventer la roue pour l'obtenir.
>Many of the most successful cybercriminals are shrewd; they want good ROI, but they don\'t want to have to reinvent the wheel to get it. |
Malware General Information | ★★ | |
|
2023-03-22 12:49:00 | New NapListener Malware utilisé par le groupe REF2924 pour échapper à la détection du réseau [New NAPLISTENER Malware Used by REF2924 Group to Evade Network Detection] (lien direct) | Le groupe de menaces suivi comme Ref2924 a été observé pour déployer des logiciels malveillants invisibles auparavant dans ses attaques destinées aux entités d'Asie du Sud et du Sud-Est.
Le logiciel malveillant, surnommé NapListener par Elastic Security Labs, est un écouteur HTTP programmé en C # et est conçu pour échapper aux "formes de détection basées sur le réseau".
REF2924 est le surnom attribué à un cluster d'activités lié aux attaques contre une entité
The threat group tracked as REF2924 has been observed deploying previously unseen malware in its attacks aimed at entities in South and Southeast Asia. The malware, dubbed NAPLISTENER by Elastic Security Labs, is an HTTP listener programmed in C# and is designed to evade "network-based forms of detection." REF2924 is the moniker assigned to an activity cluster linked to attacks against an entity |
Malware Threat General Information | ★★★ | |
 |
2023-03-22 08:00:59 | 4 menaces de logiciels malveillants mobiles que vous ne pouvez même pas voir [4 Mobile Malware Threats You Can\\'t Even See] (lien direct) | > 
D'ici 2030, les experts prédisent qu'il y aura 5 milliards d'appareils liés à la 5G.1 pour la population générale, cette connectivité ...
> 
By 2030, experts predict that there will be 5 billion devices connected to 5G.1 For the general population, this connectedness...
|
Malware Studies Prediction | ★★ | |
 |
2023-03-22 07:32:10 | Les acteurs inconnus déploient des logiciels malveillants pour voler des données dans les régions occupées de l'Ukraine [Unknown actors deploy malware to steal data in occupied regions of Ukraine] (lien direct) | Si c'est le travail de Kyiv \\, la Russie peut Crimea River Une campagne de cyber-espionnage ciblant les organisations dans les régions occupées par Russie de l'Ukraine utilise de nouveaux logiciels malveillants pour voler des données, selon la RussieVendeur logiciel infosec Kaspersky.… | Malware | ★★★ | |
|
2023-03-22 01:06:10 | Google suspend l'application d'achat chinois au milieu des problèmes de sécurité [Google Suspends Chinese Shopping App Amid Security Concerns] (lien direct) | > Google a suspendu l'application de shopping chinoise Pinduoduo sur son App Store après la découverte des logiciels malveillants dans les versions de l'application à partir d'autres sources.
>Google has suspended the Chinese shopping app Pinduoduo on its app store after malware was discovered in versions of the app from other sources. |
Malware | ★★★ | |
|
2023-03-21 17:11:00 | Nouveau shellbot DDOS malware ciblant les serveurs Linux mal gérés [New ShellBot DDoS Malware Targeting Poorly Managed Linux Servers] (lien direct) | Les serveurs Linux SSH mal gérés sont ciblés dans le cadre d'une nouvelle campagne qui déploie différentes variantes de logiciels malveillants appelés shellbot.
"Shellbot, également connu sous le nom de Perlbot, est un logiciel malveillant DDOS BOT développé dans Perl et utilise caractéristiquement le protocole IRC pour communiquer avec le serveur C & amp; C", a déclaré Ahnlab Security Emergency Response Center (ASEC) dans un rapport.
Shellbot est installé sur des serveurs qui
Poorly managed Linux SSH servers are being targeted as part of a new campaign that deploys different variants of malware called ShellBot. "ShellBot, also known as PerlBot, is a DDoS Bot malware developed in Perl and characteristically uses IRC protocol to communicate with the C&C server," AhnLab Security Emergency response Center (ASEC) said in a report. ShellBot is installed on servers that |
Malware | ★★ | |
|
2023-03-21 16:33:24 | Les pirates utilisent de nouveaux logiciels malveillants PowerMagic et Common Magic pour voler des données [Hackers use new PowerMagic and CommonMagic malware to steal data] (lien direct) | Des chercheurs en sécurité ont découvert des attaques d'un acteur de menace avancé qui a utilisé "un cadre malveillant auparavant invisible" appelé CommonMagic et une nouvelle porte dérobée appelée PowerMagic.[...]
Security researchers have discovered attacks from an advanced threat actor that used "a previously unseen malicious framework" called CommonMagic and a new backdoor called PowerMagic. [...] |
Malware Threat | ★★ | |
|
2023-03-21 14:30:50 | Personnalisé \\ 'napListener \\' malware un cauchemar pour la détection basée sur le réseau [Custom \\'Naplistener\\' Malware a Nightmare for Network-Based Detection] (lien direct) | Les acteurs de la menace utilisent des actifs réseau légitimes et du code open source pour voler sous le radar dans les attaques de vol de données en utilisant un ensemble de logiciels malveillants personnalisés inclinés dans l'évasion.
Threat actors are using legitimate network assets and open source code to fly under the radar in data-stealing attacks using a set of custom malware bent on evasion. |
Malware Threat | ★★ | |
 |
2023-03-21 10:59:08 | ESET Research a découvert des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies (lien direct) | ESET Research a découvert des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies ● ESET Research a découvert pour la première fois des malwares dits " clippers " intégrés à des applications de messagerie instantanée. ● Leurs auteurs s'attaquent aux cryptomonnaie des victimes à l'aide des applications Telegram et WhatsApp Android et Windows infectées par des chevaux de Troie. ● Le malware est capable de remplacer les adresses des portefeuilles de cryptomonnaies que les victimes envoient dans les messages de chat par des adresses appartenant à l'attaquant. ● Certains des clippers utilisent même la reconnaissance de caractères pour extraire du texte de captures d'écran et voler les phrases de récupération des portefeuilles de cryptomonnaies. ● Outre les clippers, ESET a également découvert des chevaux de Troie d'accès à distance intégrés à des versions malveillantes de WhatsApp et Telegram sur Windows. - Malwares | Malware | ★★ | |
 |
2023-03-21 10:15:32 | Les attaquants exploitent le panneau Adobe Acrobat pour distribuer des logiciels malveillants Redline Stealer [Attackers Exploit Adobe Acrobat Sign to Distribute RedLine Stealer Malware] (lien direct) | > Les cybercriminels utilisent de nombreuses façons de distribuer des logiciels malveillants, notamment en profitant des services légitimes.Récemment, la sécurité ...
>Cybercriminals employ many ways to distribute malware, including taking advantage of legitimate services. Recently, security... |
Malware | ★★ | |
|
2023-03-21 05:58:12 | Google suspends top Chinese shopping app Pinduoduo (lien direct) | allègue qu'il est infecté par des logiciels malveillants & # 8211;Mais pas la version dans son propre bazar Tat Digital Google a suspendu l'application de shopping chinoise Pinduoduo depuis son Play Store parce que les versions du logiciel trouvé ailleurs ont inclus des logiciels malveillants.… | Malware | ★★★★ | |
 |
2023-03-20 23:29:00 | Anomali Cyber Watch: APT, China, Data leak, Injectors, Packers, Phishing, Ransomware, Russia, and Ukraine (lien direct) |
& nbsp;
Anomali Cyber Watch: Winter Vivern imite la page Web de cybercrimes de la Poland, le télégramme trojanisé vole les clés de crypto-monnaie à partir de captures d'écran, Silkloder évite l'East Asian Menking Bookbox, et plus encore.
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, Chine, fuite de données, injecteurs, packers, phishing, ransomware, Russie, et Ukraine.Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
Visern d'hiver |Découvrir une vague d'espionnage mondial
(Publié: 16 mars 2023)
Depuis décembre 2020, Winter Vivern se livrait à des campagnes de cyberespionnage alignées sur les objectifs du Bélarus et du gouvernement russe.Depuis janvier 2021, il a ciblé les organisations gouvernementales en Lituanie, en Inde, au Vatican et en Slovaquie.De la mi-2022 à décembre 2022, il a ciblé l'Inde et l'Ukraine: a usurpé l'identité du site Web du service de courrier électronique du gouvernement indien et a envoyé un excel macro-compétitif pour cibler un projet facilitant la reddition du personnel militaire russe.Au début de 2023, Winter Vivern a créé de fausses pages pour le bureau central de la Pologne pour la lutte contre la cybercriminalité, le ministère ukrainien des Affaires étrangères et le service de sécurité de l'Ukraine.Le groupe s'appuie souvent sur le simple phishing pour les références.Un autre type d'activité d'hiver VIVERN comprend des documents de bureau malveillants avec des macros, un script de chargeur imitant un scanner de virus et l'installation de la porte dérobée de l'ouverture.L'infrastructure malveillante du groupe comprend des domaines typosquattés et des sites Web WordPress compromis.
Commentaire de l'analyste: Faites attention si un domaine demande vos mots de passe, essayez d'établir son authenticité et sa propriété.Les clients anomalis préoccupés par les risques pour leurs actifs numériques (y compris les domaines similaires / typosquattés) peuvent essayer Service de protection numérique premium d'Anomali \\ 's .De nombreuses attaques avancées commencent par des techniques de base telles que des e-mails injustifiés avec des pièces jointes malveillantes qui obligent l'utilisateur à l'ouvrir et à activer les macroses.Il est important d'enseigner à vos utilisateurs une hygiène de base en ligne et une conscience de phishing.
mitre att & amp; ck: [mitre att & amp; ck] t1583.001 -Acquérir des infrastructures: domaines | [mitre att & amp; ck] t1566.001 - phishing: spearphishing attachement | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1059.003 - commande et scriptInterprète: Shell de commande Windows | [mitre att & amp; ck] t1105 - transfert d'outils d'en |
Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2023-03-20 20:23:00 | Mirai Hackers Use Golang to Create a Bigger, Badder DDoS Botnet (lien direct) | Avec Hinatabot, les auteurs de logiciels malveillants ont créé une bête plusieurs fois plus efficace que même les botnets les plus effrayants de l'ancien, emballant plus de 3 tbit / s de vitesses DDOS.
With HinataBot, malware authors have created a beast many times more efficient than even the scariest botnets of old, packing more than 3Tbit/s DDoS speeds. |
Malware | ★★ | |
|
2023-03-20 19:09:00 | New DotRunpeX Malware Delivers Multiple Malware Families via Malicious Ads (lien direct) | A new piece of malware dubbed dotRunpeX is being used to distribute numerous known malware families such as Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys, and Vidar. "DotRunpeX is a new injector written in .NET using the Process Hollowing technique and used to infect systems with a variety of known malware families," Check | Malware | ★★★ | |
|
2023-03-20 18:30:00 | When the Absence of Noise Becomes Signal: Defensive Considerations for Lazarus FudModule (lien direct) | > En février 2023, X-Force a publié un blog intitulé & # 8220; Direct Kernel Object Manipulation (DKOM) Attacks contre les fournisseurs ETW & # 8221;Cela détaille les capacités d'un échantillon attribué au groupe Lazare se sont exploités pour altérer la visibilité des opérations de logiciels malveillants.Ce blog ne remaniera pas l'analyse de l'échantillon de logiciel malveillant Lazarus ou du traçage d'événements pour Windows (ETW) comme [& # 8230;]
>In February 2023, X-Force posted a blog entitled “Direct Kernel Object Manipulation (DKOM) Attacks on ETW Providers” that details the capabilities of a sample attributed to the Lazarus group leveraged to impair visibility of the malware’s operations. This blog will not rehash analysis of the Lazarus malware sample or Event Tracing for Windows (ETW) as […] |
Malware Medical | APT 38 | ★★★ |
|
2023-03-20 10:28:01 | (Déjà vu) Adobe Acrobat Sign Abused to Distribute Malware (lien direct) | >Cybercriminals are abusing the Adobe Acrobat Sign service in a campaign distributing the RedLine information stealer malware. | Malware | ★★ | |
|
2023-03-20 10:00:00 | Italian agency warns ransomware targets known VMware vulnerability (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. News broke in early February that the ACN, Italy’s National Cybersecurity Agency, issued a warning regarding a VMware vulnerability discovered two years ago. Many organizations hadn’t yet patched the issue and became the victims of a new ransomware called ZCryptor. The malicious software wreaked havoc on Italian and European businesses by encrypting users’ files and demanding payment for the data to be unencrypted. The ACN urges VMware users to ensure their systems are backed up and updated with the most recent security patches available. With ransomware on the rise, it’s crucial that businesses take the necessary steps to protect their data and applications. ESXiArgs ransomware attacks Ransomware is a type of malware or malicious software that enables unauthorized users to restrict access to an organization’s files, systems, and networks. But it doesn’t stop there. In exchange for the keys to the kingdom, attackers will typically require a large sum in the form of cryptocurrency. There are many ways that ransomware is executed on a target system. In this case, the attacker infiltrated VMware’s ESXi hypervisor code and held entire servers for ransom. According to reports most victims were required to pay almost $50,000 USD in Bitcoin to restore access to entire business systems. The nature of these attacks lead experts to believe that this is not the work of ransomware gangs, and is more likely being executed by a smaller group of threat actors. But that doesn’t mean the damage was any less alarming. Exploiting known vulnerabilities Hackers were able to infect over 2000 machines in only twenty-four hours on a Friday afternoon before the start of the weekend. But how were they able to work so fast? As soon as software developers and providers publish fixes for specific vulnerabilities, threat actors are already beginning their plan of attack. Fortunately, the ESXiArgs vulnerability was patched two years ago (CVE-2021-21974.) Organizations that have not run this patch are at risk of becoming a victim of the latest ransomware. Unfortunately, Florida’s Supreme Court, the Georgia Institute of Technology, Rice University, and many schools across Hungary and Slovakia have also become victims of this newest ransomware attack. CISA guidance for affected systems The US Cybersecurity and Infrastructure Security Agency (CISA) issued recovery guidance for the 3,800 servers around the world affected by the ESXiArgs ransomware attacks: Immediately update all servers to the latest VMware ESXi version. Disable Service Location Protocol (SLP) to harden the hypervisor. Make sure the ESXi hypervisor is never exposed to the public internet. The CISA also offers a script on its GitHub page to reconstruct virtual machine metadata from unaffected virtual disks. What organi | Ransomware Malware Vulnerability Threat Patching Guideline | ★★★ | |
|
2023-03-19 10:20:40 | New \'HinataBot\' botnet could launch massive 3.3 Tbps DDoS attacks (lien direct) | A new malware botnet was discovered targeting Realtek SDK, Huawei routers, and Hadoop YARN servers to recruit devices into DDoS (distributed denial of service) swarm with the potential for massive attacks. [...] | Malware | ★★★★ | |
|
2023-03-18 15:03:23 | Emotet malware now distributed in Microsoft OneNote files to evade defenses (lien direct) | The Emotet malware is now distributed using Microsoft OneNote email attachments, aiming to bypass Microsoft security restrictions and infect more targets. [...] | Malware | ★★★ | |
|
2023-03-17 23:45:00 | FakeCalls Vishing Malware Targets South Korean Users via Popular Financial Apps (lien direct) | An Android voice phishing (aka vishing) malware campaign known as FakeCalls has reared its head once again to target South Korean users under the guise of over 20 popular financial apps. "FakeCalls malware possesses the functionality of a Swiss army knife, able not only to conduct its primary aim but also to extract private data from the victim's device," cybersecurity firm Check Point said. | Malware | ★★★ | |
|
2023-03-17 17:37:00 | New GoLang-Based HinataBot Exploiting Router and Server Flaws for DDoS Attacks (lien direct) | A new Golang-based botnet dubbed HinataBot has been observed to leverage known flaws to compromise routers and servers and use them to stage distributed denial-of-service (DDoS) attacks. "The malware binaries appear to have been named by the malware author after a character from the popular anime series, Naruto, with file name structures such as 'Hinata--,'" Akamai said in a | Malware Threat | ★★★ | |
|
2023-03-17 17:30:00 | Telegram, WhatsApp Trojanized to Target Cryptocurrency Wallets (lien direct) | Most of these apps rely on clipper malware to steal the contents of the Android clipboard | Malware | ★★★ |
To see everything:
Our RSS (filtrered)
