SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-08-02 21:46:00	APT28 cible les diplomates avec des logiciels malveillants de tête via la vente de phishing APT28 Targets Diplomats with HeadLace Malware via Car Sale Phishing Lure (lien direct)	Un acteur de menace lié à la Russie a été lié à une nouvelle campagne qui employait une voiture à vendre comme leurre de phishing pour livrer une porte dérobée de fenêtres modulaires appelée Headlace. "La campagne a probablement ciblé les diplomates et a commencé dès mars 2024", a déclaré l'unité Palo Alto Networks 42 dans un rapport publié aujourd'hui, l'attribuant avec un niveau moyen à élevé de confiance à l'APT28, qui est également appelé A Russia-linked threat actor has been linked to a new campaign that employed a car for sale as a phishing lure to deliver a modular Windows backdoor called HeadLace. "The campaign likely targeted diplomats and began as early as March 2024," Palo Alto Networks Unit 42 said in a report published today, attributing it with medium to high level of confidence to APT28, which is also referred to as	Malware Threat	APT 28
	2024-08-02 21:37:59	Threat Actor Abuses Cloudflare Tunnels to Deliver RATs (lien direct)	## Snapshot Researchers at Proofpoint have observed an increase in malware delivery via TryCloudflare Tunnel abuse. The threat activity is unattributed at this point in time but is financially motivated and delivers remote access trojans (RATs). ## Description The threat actors have modified tactics, techniques, and procedures to bypass detection and improve efficacy. The activity abuses the TryCloudflare feature to create a one-time tunnel without creating an account, allowing the delivery of malware. The campaigns lead to the delivery of Xworm, a remote access trojan (RAT), and other malware such as AsyncRAT, VenomRAT, GuLoader, and Remcos. The threat actor behind the campaigns has been observed modifying different parts of the attack chain to increase sophistication and defense evasion. The use of Cloudflare tunnels provides the threat actors with a way to use temporary infrastructure to scale their operations, making it harder for defenders to detect and take down instances in a timely manner. The attack chain requires significant victim interaction, giving the recipient multiple opportunities to identify suspicious activity and disrupt the attack chain before successful execution. ## Microsoft Analysis ProofPoint\'s findings fit with the trend [other security researchers]([https:/security.microsoft.com/intel-explorer/articles/7f0d7aa3]) have noted of hackers utilizing DNS tunneling as a covert communication method and for bypassing traditional security measures. Although ProofPoint does not attribute the activity to a tracked Threat Actor, Microsoft Threat Intelligence has also observed threat actors such as [Aqua Blizzard](https://sip.security.microsoft.com/intel-profiles/9b01de37bf66d1760954a16dc2b52fed2a7bd4e093dfc8a4905e108e4843da80) (ACTINIUM) utilize Cloudflare tunnels to obfuscate their command and control (C2) communication. The process began with phishing activities that downloaded the cloudflared.exe client, which doesn\'t require configuration or licensing. This client sets up a tunnel through Cloudflare\'s infrastructure, masking the connection to the C2 IP address and making it difficult for network security software to detect the threat actor\'s infrastructure. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:VBS/XWorm](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/XWorm) - [Trojan:Win32/Guloader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Guloader) - [Backdoor:JS/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:JS/Remcos) - [Trojan:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Remcos) - [PWS:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Remcos) - [Backdoor:MSIL/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MSIL/Remcos) - [Backdoor:Win32/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Remcos) - [TrojanDownloader:O97M/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:O97M/Remcos) - [TrojanDownloader:AutoIt/Remcos](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:AutoIt/Remcos) - [Trojan:XML/AsyncRat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:XML/AsyncRat) - [Backdoor:Win32/Asyncrat](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:Win32/Asyncrat) - [Trojan:VBS/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:VBS/AsyncRAT) - [Trojan:VBA/AsyncRAT](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-descript	Spam Malware Tool Threat Prediction
	2024-08-02 20:39:07	Black Basta ransomware switches to more evasive custom malware (lien direct)	## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do	Ransomware Malware Tool Vulnerability Threat Legislation Cloud
	2024-08-02 20:30:41	Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft (lien direct)	## Snapshot Researchers at Trend Micro identified a malvertising campaign where threat actors hijack social media pages, rename them to mimic popular AI photo editors, and post malicious links to fake websites. ## Description These attackers use spam messages with phishing links to steal admin credentials, leading to fake account protection pages. Once they gain control, they post ads promoting the AI photo editor, which directs victims to download an endpoint management utility disguised as the photo editor. The ITarian software is then used to execute additional payloads like Lumma Stealer, which exfiltrates sensitive data such as cryptocurrency wallet files, browser data, and password manager databases. This campaign exploits the popularity of AI tools by using them as lures for malicious activities. Cybercriminals have been observed changing social media page names to those of popular AI tools and using paid ads to boost their malicious posts. Victims are tricked into downloading software that allows attackers to remotely control their devices, leading to data and credential theft. ## Additional Analysis Threat actors frequently capitalize on current trends and events to enhance the credibility of their phishing scams, and the recent surge in interest around AI is no exception. By leveraging the excitement surrounding new AI technologies, cybercriminals create convincing phishing sites and promotional materials that mimic legitimate AI platforms. These scams often employ sophisticated social engineering tactics, including the use of compromised social media accounts, to distribute malware under the guise of AI applications. Security researchers at [Cyble Research and Intelligence Labs](https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/) have observed cybercriminals using branding for OpenAI\'s Sora, to create convincing phishing sites promoted through compromised social media accounts. This strategy not only increases the perceived legitimacy of their malicious campaigns but also exploits the public\'s eagerness to engage with cutting-edge technologies, thereby maximizing the reach and impact of their attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](http	Ransomware Spam Malware Tool Threat Prediction
	2024-08-02 19:00:59	Les pirates d'évasifs de Panda basés en Chine ont compromis un FAI pour répandre les logiciels malveillants China-based Evasive Panda hackers compromised an ISP to spread malware, report says (lien direct)	Pas de details / No more details	Malware
	2024-08-02 19:00:46	StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms (lien direct)	## Instantané À la mi-2023, les chercheurs de volexité ont détecté plusieurs incidents où Stormbamboo, également connu sous le nom de panda évasif, a utilisé l'empoisonnement du DNS pour compromettre les systèmes au niveau du FAI. ## Description Cette attaque a permis à Stormbamboo de manipuler les réponses DNS et de mécanismes de mise à jour des logiciels cibles pour cibler pour installer subrepticement des logiciels malveillants sur MacOS et Windows Systems.Les logiciels malveillants clés déployés comprenaient de nouvelles variantes du malware MACMA, montrant une convergence avec la famille de logiciels malveillants Gimmick.Les attaquants ont également utilisé une extension de navigateur malveillant, Reloadext, pour exfiltrer les données par e-mail des machines victimes.Une analyse a révélé que le vecteur d'infection était l'empoisonnement du DNS au niveau du FAI, redirigeant les demandes de mise à jour du logiciel aux serveurs contrôlés par attaquant.Cette méthode d'attaque a exploité les vulnérabilités dans les mécanismes de mise à jour qui ne validaient pas correctement les signatures numériques, similaires aux attaques précédentes attribuées à DriftingBamboo.Volexity a confirmé cette méthode dans un scénario du monde réel, mettant en évidence la nature sophistiquée et persistante des opérations de Stormbamboo \\. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - * [Backdoor: macOS / macma] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:macos/macma) * ## Les références [Stormbamboo compromet le FAI pour abuser des mécanismes de mise à jour des logiciels peu sûrs] (https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-at-abuse-insecure-software-upmechanisms/).Volexité (consulté en 2024-08-02) ## Droits d'auteur &copie;Microsoft 2024 .Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite. ## Snapshot In mid-2023, researchers at Volexity detected multiple incidents where StormBamboo, also known as Evasive Panda, used DNS poisoning to compromise systems at the ISP level. ## Description This attack allowed StormBamboo to manipulate DNS responses and target insecure software update mechanisms to surreptitiously install malware on macOS and Windows systems. Key malware deployed included new variants of the MACMA malware, showing a convergence with the GIMMICK malware family. The attackers also utilized a malicious browser extension, RELOADEXT, to exfiltrate email data from victim machines. An analysis revealed that the infection vector was DNS poisoning at the ISP level, redirecting software update requests to attacker-controlled servers. This attack method exploited vulnerabilities in update mechanisms that did not properly validate digital signatures, similar to previous attacks attributed to DriftingBamboo. Volexity confirmed this method in a real-world scenario, highlighting the sophisticated and persistent nature of StormBamboo\'s operations. ## Detections/Hunting Queries Microsoft Defender Antivirus Microsoft Defender Antivirus detects the following threat components as malware: - [Backdoor:MacOS/Macma](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor:MacOS/Macma) ## References [StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms](https://www.volexity.com/blog/2024/08/02/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms/). Volexity (accessed 2024-08-02) ## Copyright © Microsoft 2024. All rights reserved. Reproduction or distribution of the content of this site, or any part thereof, without written permission of Microsoft is prohibit	Malware Vulnerability Threat
	2024-08-02 17:13:44	Mise à jour de la recherche: les acteurs de la menace derrière la campagne Dev # Popper se sont réoutillants et continuent de cibler les développeurs de logiciels via l'ingénierie sociale Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering (lien direct)	#### Géolocations ciblées - Corée - Amérique du Nord - Moyen-Orient - L'Europe de l'Est - Europe du Nord - Europe du Sud - Europe de l'Ouest #### Industries ciblées - Informatique - Produits informatiques et services ## Instantané Les chercheurs de Securonix ont découvert une campagne de [Dev # Popper] (https://security.microsoft.com/intel-explorer/articles/7309c) par des acteurs de la menace nord-coréenne, ciblant les développeurs de logiciels par le biais de techniques avancées d'ingénierie sociale. ## Description La campagne est répandue et a eu un impact sur les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient.De plus, la campagne a élargi son pool de victimes pour cibler les utilisateurs de Windows, Linux et MacOS.L'attaque est lancée par de fausses entretiens d'embauche, où les acteurs de la menace présentent à la personne interrogée un package de fichiers zip contenant des logiciels malveillants. Ce malware utilise un code JavaScript fortement obscurci, C2 Communications, Téléchargements de charge utile et exécution Python, avec de nouvelles fonctionnalités de persistance à l'aide de AnyDesk RMM.Le logiciel malveillant basé sur Python comprend des capacités de vol de données sensibles, une prise en charge du système multi-opératoires, une obscurité améliorée et un codage, un réseau, une exécution de commande distante, une exfiltration de données, une journalisation du presse-papiers et des casques de touche et une fonctionnalité FTP étendue.La campagne implique également l'abus des tactiques d'ingénierie sociale et l'extraction des références stockées et des cookies de session de divers navigateurs. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste R opportunisteLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsof	Ransomware Malware Tool Threat
	2024-08-02 16:05:13	Stormbamboo compromet le FAI pour abuser des mécanismes de mise à jour des logiciels sans sécurité StormBamboo Compromises ISP to Abuse Insecure Software Update Mechanisms (lien direct)	> Les clés à retenir Stormbamboo ont réussi à compromettre un fournisseur de services Internet (ISP) afin d'empoisonner les réponses DNS pour les organisations cibles.Les mécanismes de mise à jour des logiciels non sécurisés ont été ciblés pour installer subrepticement des logiciels malveillants sur des machines victimes exécutant macOS et Windows.Les logiciels malveillants déployés par Stormbamboo comprennent de nouvelles variantes du malware MACMA.L'analyse des dernières versions de MACMA montre le développement convergé des familles de logiciels malveillants MACMA et Gimmick.L'activité post-exploitation comprenait le déploiement de l'extension de navigateur malveillant Reloadext pour exfiltrater les données de courrier victime.À la mi-2023, la volexité a détecté et répondu à plusieurs incidents impliquant des systèmes qui se sont infectés par des logiciels malveillants liés à Stormbamboo (aka panda évasif, et précédemment suivi par volexité sous «Stormcloud»).Dans ces incidents, plusieurs familles de logiciels malveillants ont été déployées sur des systèmes MacOS et Windows à travers les réseaux d'organisations victimes \\ '.Le vecteur d'infection pour ce malware était initialement difficile à établir, mais s'est avéré plus tard être le résultat d'une attaque d'empoisonnement DNS [& # 8230;] >KEY TAKEAWAYS StormBamboo successfully compromised an internet service provider (ISP) in order to poison DNS responses for target organizations. Insecure software update mechanisms were targeted to surreptitiously install malware on victim machines running macOS and Windows. Malware deployed by StormBamboo includes new variants of the MACMA malware. Analysis of the newest versions of MACMA shows converged development of the MACMA and GIMMICK malware families. Post-exploitation activity included deployment of the malicious browser extension RELOADEXT to exfiltrate victim mail data. In mid-2023, Volexity detected and responded to multiple incidents involving systems becoming infected with malware linked to StormBamboo (aka Evasive Panda, and previously tracked by Volexity under “StormCloud”). In those incidents, multiple malware families were found being deployed to macOS and Windows systems across the victim organizations\' networks. The infection vector for this malware was initially difficult to establish but later proved to be the result of a DNS poisoning attack […]	Malware
	2024-08-02 15:26:00	NOUVELLES BOISSEURS BOODDOOR EXPLAISONS BITS POUR LA communication furtive New Windows Backdoor BITSLOTH Exploits BITS for Stealthy Communication (lien direct)	Les chercheurs en cybersécurité ont découvert une porte dérobée Windows auparavant sans papiers qui exploite une fonction intégrée appelée Background Intelligent Transfer Service (BITS) en tant que mécanisme de commande et de contrôle (C2). La souche de logiciels malveillants nouvellement identifiée a été nommé Bitsland Cybersecurity researchers have discovered a previously undocumented Windows backdoor that leverages a built-in feature called Background Intelligent Transfer Service (BITS) as a command-and-control (C2) mechanism. The newly identified malware strain has been codenamed BITSLOTH by Elastic Security Labs, which made the discovery on June 25, 2024, in connection with a cyber attack targeting an	Malware
	2024-08-02 14:44:13	Briser l'économie de la confiance: comment les bustes affectent les gangs de logiciels malveillants Breaking the economy of trust: How busts affect malware gangs (lien direct)	Il est difficile de retrouver les individus, alors pourquoi ne pas perturber le marché souterrain lui-même? Fonction Certains des ransomwares les plus notoires du monde \\Les opérateurs de logiciels malveillants en tant que service (RAAS / MAAS) ont fermé l'atelier au cours des 12 derniers mois grâce aux efforts internationaux de l'application des lois, mais simplement parce que les noms de ménages comme Conti, Lockbit et Alphv / Blackcat sont sur les cordes, il ne fait pas\\ 'ne signifie pas que nous sommes exempts de la menace des logiciels malveillants de marchandises.… It\'s hard to track down individuals, so why not disrupt the underground market itself? Feature Some of the world\'s most notorious ransomware and malware-as-a-service (RaaS/MaaS) operators have shut up shop in the past 12 months thanks to international law enforcement efforts, but just because household names like Conti, LockBit, and ALPHV/BlackCat are on the ropes, it doesn\'t mean we\'re free from the threat of commodity malware.…	Ransomware Malware Threat Legislation
	2024-08-02 14:32:33	Fausses annonces d'éditeur d'IA sur Facebook Push Password Staling Malewware Fake AI editor ads on Facebook push password-stealing malware (lien direct)	Une campagne Facebook malvertising cible les utilisateurs à la recherche d'outils d'édition d'image AI et vole leurs informations d'identification en les incitant à installer de fausses applications qui imitent les logiciels légitimes.[...] A Facebook malvertising campaign targets users searching for AI image editing tools and steals their credentials by tricking them into installing fake apps that mimic legitimate software. [...]	Malware Tool
	2024-08-02 12:32:00	Les cybercriminels abusant des tunnels Cloudflare pour échapper à la détection et à la propagation de logiciels malveillants Cybercriminals Abusing Cloudflare Tunnels to Evade Detection and Spread Malware (lien direct)	Les sociétés de cybersécurité mettent en garde contre une augmentation de la maltraitance du service gratuit de Clouflare \\ pour la livraison de logiciels malveillants. L'activité, documentée par Esesentire et Proofpoint, implique l'utilisation de TryCloudflare pour créer un tunnel unique qui agit comme un conduit pour relayer le trafic d'un serveur contrôlé par l'attaquant vers une machine locale via l'infrastructure de Cloudflare \\. Chaînes d'attaque Cybersecurity companies are warning about an uptick in the abuse of Clouflare\'s TryCloudflare free service for malware delivery. The activity, documented by both eSentire and Proofpoint, entails the use of TryCloudflare to create a one-time tunnel that acts as a conduit to relay traffic from an attacker-controlled server to a local machine through Cloudflare\'s infrastructure. Attack chains	Malware		★★★
	2024-08-02 09:39:05	Tunnels Cloudflare maltraités pour la livraison de logiciels malveillants Cloudflare Tunnels Abused for Malware Delivery (lien direct)	> Les acteurs de la menace abusent de la fonctionnalité TryCloudflare de Cloudflare \\ pour créer des tunnels uniques pour la distribution des chevaux de Troie d'accès à distance. >Threat actors are abusing Cloudflare\'s TryCloudflare feature to create one-time tunnels for the distribution of remote access trojans.	Malware
	2024-08-02 06:28:52	Vulnérabilité DNS: \\ 'Ducks assis \\' expose des millions de domaines au détournement DNS Vulnerability: \\'Sitting Ducks\\' Exposes Millions of Domains to Hijacking (lien direct)	Une vulnérabilité récemment découverte dans le système de noms de domaine (DNS), surnommée & # 8216; Sitting Ducks, & # 8217;a laissé des millions de domaines susceptibles de détourner.Ce vecteur d'attaque, activement exploité depuis 2019, permet aux acteurs de la menace de fournir des logiciels malveillants, des phish, des marques d'identité et des données exfiltratantes.Des chercheurs d'InfoBlox et d'Eclypsium ont identifié la vulnérabilité, en coordonnant avec les forces de l'ordre et l'ordinateur national [...] A recently discovered vulnerability in the Domain Name System (DNS), dubbed ‘Sitting Ducks,’ has left millions of domains susceptible to hijacking. This attack vector, actively exploited since 2019, enables threat actors to deliver malware, phish, impersonate brands, and exfiltrate data. Researchers at Infoblox and Eclypsium identified the vulnerability, coordinating with law enforcement and national Computer [...]	Malware Vulnerability Threat Legislation		★★★
	2024-08-01 19:06:45	Black Basta développe des logiciels malveillants personnalisés dans le sillage de Qakbot Takedown Black Basta Develops Custom Malware in Wake of Qakbot Takedown (lien direct)	Le groupe de ransomware prolifiques s'est éloigné du phishing comme méthode d'entrée dans les réseaux d'entreprise, et utilise désormais les courtiers d'accès initiaux ainsi que ses propres outils pour optimiser ses attaques les plus récentes. The prolific ransomware group has shifted away from phishing as the method of entry into corporate networks, and is now using initial access brokers as well as its own tools to optimize its most recent attacks.	Ransomware Malware Tool		★★★
	2024-08-01 19:02:00	Hackers distribuant des forfaits Python malveillants via une plate-forme de questions-réponses populaire du développeur Hackers Distributing Malicious Python Packages via Popular Developer Q&A Platform (lien direct)	Dans un autre signe encore que les acteurs de la menace recherchent toujours de nouvelles façons de inciter les utilisateurs à télécharger des logiciels malveillants, il est apparu que la plate-forme de questions-réponses (Q & AMP; A) connue sous le nom d'échange de pile a été abusée pour diriger des développeurs insuffisantsà des packages de python de faux capables de drainage de leurs portefeuilles de crypto-monnaie. "Lors de l'installation, ce code s'exécuterait automatiquement, In yet another sign that threat actors are always looking out for new ways to trick users into downloading malware, it has come to light that the question-and-answer (Q&A) platform known as Stack Exchange has been abused to direct unsuspecting developers to bogus Python packages capable of draining their cryptocurrency wallets. "Upon installation, this code would execute automatically,	Malware Threat		★★★
	2024-08-01 18:42:27	APT41 a probablement compromis l'institut de recherche affilié au gouvernement taïwanais avec ShadowPad et Cobalt Strike APT41 likely compromised Taiwanese government-affiliated research institute with ShadowPad and Cobalt Strike (lien direct)	#### Géolocations ciblées - Taïwan ## Instantané Cisco Talos a identifié une campagne malveillante ciblant un institut de recherche affilié au gouvernement taïwanais à partir de juillet 2023. ## Description La campagne, censée être orchestrée par APT41, suivie par Microsoft sous le nom de typhon en laiton, a impliqué l'utilisation de Malware de ShadowPad, [Cobalt Strike] (https://sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc?tid=72f988bf-86f1-41af-91abpour les activités post-compromis.APT41 a exploité un Microsoft Office IME binaire obsolète ([CVE-2018-0824] (https://security.microsoft.com/intel-explorer/cves/cve-2018-0824/)) pour déploier ShadowPad et levier une exécution du code à distanceVulnérabilité à l'escalade des privilèges.En août 2023, des commandes PowerShell anormales ont été détectées, se connectant à une adresse IP pour télécharger des scripts, indiquant des attaques en cours.La campagne s'aligne sur les tactiques, techniques et procédures connues d'APT41 \\, telles que le phishing de lance et l'utilisation d'exécutables BitDefender pour l'élevage de latérus.Les attaquants ont également utilisé la stéganographie dans des chargeurs de frappe de cobalt pour échapper à la détection. ## Analyse supplémentaire ShadowPad, un cheval de Troie à distance à distance (RAT), est déployé par APT-41 depuis au moins 2017 et par d'autres groupes de menaces chinoises depuis 2019. [SecureWorks] (https://www.secureworks.com/research/shadowpad-malware--Analyse) Évalue que les logiciels malveillants ont probablement été développés par les acteurs de la menace associés à l'APT-41 et partagés avec d'autres acteurs affiliés au ministère chinois de la sécurité des États (MSS) et à l'Armée de libération du peuple (PLA).Le malware a été déployé à l'échelle mondiale et a affecté les organisations dans diverses industries. ShadowPad est utilisé pour maintenir un accès persistant à des environnements compromis et permet aux acteurs de menace d'exécuter des commandes et d'effectuer un ciblage de suivi avec des charges utiles supplémentaires.ShadowPad est déployé via Dynamic Link Library (DLL) l'élevage de tours et a été observé dans le fait de se déguiser en tant qu'ApplAunch.exe, Consent.exe et Bdreinit.exe, entre autres. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [baCKDOOR: WIN64 / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Backdoor: Win64 / Cobaltsstrike) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:win64/cobaltstrike) - [Trojan: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/shadowpad) - [BackDoor: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win32/shadowpad) ## Recommandations - Activer [Tamper Protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) pour empêcher les attaques de s'arrêter ou d'interféreravec Microsoft Defender Antivirus. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Utilisez le pare-feu Windows Defender et votre pare-feu réseau pour empêcher la communication RPC et SMB le long des points de terminai	Malware Tool Vulnerability Threat	APT 41	★★★
	2024-08-01 18:22:00	New Android Banking Trojan Bingomod vole de l'argent, des dispositifs essuie New Android Banking Trojan BingoMod Steals Money, Wipes Devices (lien direct)	Les chercheurs en cybersécurité ont découvert un nouveau Trojan (RAT) d'accès à distance Android appelé Bingomod qui non seulement effectue des transferts d'argent frauduleux des appareils compromis, mais les essuie également pour tenter d'effacer les traces du malveillant. La société italienne de cybersécurité Cleafy, qui a découvert le rat vers la fin du mois de mai 2024, a déclaré que les logiciels malveillants sont en cours de développement actif.Il a attribué le Cybersecurity researchers have uncovered a new Android remote access trojan (RAT) called BingoMod that not only performs fraudulent money transfers from the compromised devices but also wipes them in an attempt to erase traces of the malware. Italian cybersecurity firm Cleafy, which discovered the RAT towards the end of May 2024, said the malware is under active development. It attributed the	Malware Mobile		★★★
	2024-08-01 16:49:30	New Bingomod Android malware se faisant passer pour des applications de sécurité, les données essuie New BingoMod Android Malware Posing as Security Apps, Wipes Data (lien direct)	Méfiez-vous de Bingomod!Ce dangereux malware Android vole votre argent, essuie votre téléphone et prend le contrôle de votre & # 8230; Beware of BingoMod! This dangerous Android malware steals your money, wipes your phone, and takes control of your…	Malware Mobile		★★★
	2024-08-01 16:37:00	Obfuscation: il y a deux côtés à tout Obfuscation: There Are Two Sides To Everything (lien direct)	Comment détecter et empêcher les attaquants d'utiliser ces différentes techniques L'obscurcissement est une technique importante pour protéger les logiciels qui comportent également des risques, en particulier lorsqu'ils sont utilisés par les auteurs de logiciels malveillants.Dans cet article, nous examinons l'obscurcissement, ses effets et ses réponses. Qu'est-ce que l'obscurcissement? L'obscurcissement est la technique de rendre intentionnellement difficile à lire les informations, en particulier dans How to detect and prevent attackers from using these various techniques Obfuscation is an important technique for protecting software that also carries risks, especially when used by malware authors. In this article, we examine obfuscation, its effects, and responses to it. What Is Obfuscation? Obfuscation is the technique of intentionally making information difficult to read, especially in	Malware		★★★
	2024-08-01 15:53:25	Hackers abuse free TryCloudflare to deliver remote access malware (lien direct)	Pas de details / No more details	Malware		★★★
	2024-08-01 15:51:01	(Déjà vu) Dangers invisibles qui se cachent derrière Evasive SecureServer.NET URL Unseen Dangers Lurking Behind Evasive Secureserver.net URLs (lien direct)	#### Géolocations ciblées - Le Portugal - Espagne - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Services financiers ## Instantané Des chercheurs de X-Labs ont identifié une campagne ciblant les grandes organisations financières dans le monde, avec un accent spécifique sur les régions espagnoles et portugais, en particulier l'Amérique latine. ## Description Les acteurs de la menace utilisent le domaine net SecureServer \ [. \] Pour distribuer des chevaux de Troie bancaires via des URL géoloyantes intégrées dans les e-mails.Lors de l'accès à l'URL, un fichier d'archive est supprimé, lançant une série d'activités qui conduisent finalement à l'injection de processus dans la mémoire du système.Le malware est conçu pour échapper à la détection en vérifiant la langue du système, l'emplacement et d'autres variables environnementales.Après une exécution réussie, il se connecte aux serveurs de commandement et de contrôle malveillants, de vol d'informations sensibles et d'utiliser des techniques de phishing. ## Analyse supplémentaire Les acteurs de la menace personnalisent souvent les chevaux de Troie bancaires pour cibler des pays ou des régions spécifiques en raison de plusieurs facteurs: - Langue et localisation: les cybercriminels élaborent leurs e-mails de phishing et leurs logiciels malveillants pour correspondre à la langue et aux nuances culturelles du pays cible, augmentant leurs chances de succès. - Environnement réglementaire: les pays diffèrent dans leurs niveaux de réglementation et d'application de la cybersécurité.Les attaquants ciblent souvent les pays avec des défenses de cybersécurité plus faibles ou des réglementations plus indulgentes. - Infrastructure bancaire: Certains pays peuvent avoir des systèmes bancaires moins sûrs ou des applications bancaires populaires plus sensibles à l'exploitation. - Facteurs économiques: les nations ayant une plus grande activité économique et la richesse sont des objectifs plus lucratifs, offrant un potentiel plus élevé de rendements financiers. - Succès antérieur: les cybercriminels peuvent persister à cibler un pays où ils ont déjà réussi, améliorant continuellement leurs méthodes en fonction des stratégies efficaces passées. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-e	Ransomware Malware Tool Threat Legislation		★★★
	2024-08-01 15:19:00	Google Chrome ajoute un cryptage lié à l'application pour protéger les cookies des logiciels malveillants Google Chrome Adds App-Bound Encryption to Protect Cookies from Malware (lien direct)	Google a annoncé qu'il ajoutait une nouvelle couche de protection à son navigateur Chrome à travers ce qui s'appelle le cryptage lié à l'application pour empêcher les logiciels malveillants de voler les informations de saisir des cookies sur les systèmes Windows. "Sur Windows, Chrome utilise l'API de protection des données (DPAPI) qui protège les données au repos des autres utilisateurs sur le système ou les attaques de démarrage à froid", Will Harris de l'équipe de sécurité de Chrome Google has announced that it\'s adding a new layer of protection to its Chrome browser through what\'s called app-bound encryption to prevent information-stealing malware from grabbing cookies on Windows systems. "On Windows, Chrome uses the Data Protection API (DPAPI) which protects the data at rest from other users on the system or cold boot attacks," Will Harris from the Chrome security team	Malware		★★★
	2024-08-01 15:00:00	Android malware and Security Numéro 1st Week d'août 2024 Android Malware & Security Issue 1st Week of August, 2024 (lien direct)	Le blog ASEC publie & # 8220; Android Malware & # 38;Numéro de sécurité 1ère semaine d'août 2024 & # 8221; ASEC Blog publishes “Android Malware & Security Issue 1st Week of August, 2024”	Malware Mobile
	2024-08-01 15:00:00	Statistiques trimestrielles de Netskope Threat Labs pour juillet 2024 Netskope Threat Labs Quarterly Stats for July 2024 (lien direct)	> Netskope Threat Labs publie un article de blog de résumé trimestriel des principales menaces que nous suivons sur la plate-forme NetSkope.Cet article vise à fournir une intelligence stratégique et exploitable sur les menaces actives contre les utilisateurs d'entreprise du monde entier.Résumé Les attaquants de livraison de logiciels malveillants cloud tentent de voler sous le radar en livrant du contenu malveillant via des applications cloud populaires.Abuser du nuage [& # 8230;] >Netskope Threat Labs publishes a quarterly summary blog post of the top threats we track on the Netskope platform. This post aims to provide strategic, actionable intelligence on active threats against enterprise users worldwide. Summary Cloud Malware Delivery Attackers attempt to fly under the radar by delivering malicious content via popular cloud apps. Abusing cloud […]	Malware Threat Cloud		★★★
	2024-08-01 14:33:07	Les pirates abusent gratuitement TryCloudflare pour livrer des logiciels malveillants à distance à distance Hackers abuse free TryCloudflare to deliver remote access malware (lien direct)	Les chercheurs mettent en garde contre les acteurs de la menace abusant de plus en plus le service de tunnel CloudFlare dans des campagnes de logiciels malveillants qui offrent généralement des chevaux de Troie (rats) à accès à distance.[...] Researchers are warning of threat actors increasingly abusing the Cloudflare Tunnel service in malware campaigns that usually deliver remote access trojans (RATs). [...]	Malware Threat		★★★
	2024-08-01 13:25:07	Le logiciel antivirus vous ralentit-il? Does Antivirus Software Slow You Down? (lien direct)	> "Le logiciel antivirus ralentit mon PC."Ceci est un commentaire qui est souvent entendu lorsque l'on parle d'antivirus et de protection contre les logiciels malveillants .... > “Antivirus software slows down my PC.” This is a comment that is often heard when talking about antivirus and malware protection....	Malware		★★
	2024-08-01 11:50:23	Menace Actor abuse des tunnels Cloudflare pour livrer des rats Threat Actor Abuses Cloudflare Tunnels to Deliver RATs (lien direct)	Key findings Proofpoint has observed an increase in malware delivery via TryCloudflare Tunnel abuse. The activity is financially motivated and delivers exclusively remote access trojans (RATs). Since initial observation, the threat activity set behind the campaigns has modified tactics, techniques, and procedures in attempts to bypass detection and improve efficacy. Proofpoint does not attribute this activity to a tracked TA, but research is ongoing. Overview Proofpoint is tracking a cluster of cybercriminal threat activity leveraging Cloudflare Tunnels to deliver malware. Specifically, the activity abuses the TryCloudflare feature that allows an attacker to create a one-time tunnel without creating an account. Tunnels are a way to remotely access data and resources that are not on the local network, like using a virtual private network (VPN) or secure shell (SSH) protocol. First observed in February 2024, the cluster increased activity in May through July, with most campaigns leading to Xworm, a remote access trojan (RAT), in recent months. In most campaigns, messages contain a URL or attachment leading to an internet shortcut (.URL) file. When executed, it establishes a connection to an external file share, typically via WebDAV, to download an LNK or VBS file. When executed, the LNK/VBS executes a BAT or CMD file that downloads a Python installer package and a series of Python scripts leading to malware installation. In some cases, file staging leverages the search-ms protocol handler to retrieve the LNK from a WebDAV share. Typically in campaigns, a benign PDF is displayed to the user to appear legitimate. In June and July, nearly all observed campaigns delivered Xworm, but previous campaigns also delivered AsyncRAT, VenomRAT, GuLoader, and Remcos. Some campaigns will lead to multiple different malware payloads, with each unique Python script leading to the installation of a different malware. Malware observed in related campaigns leveraging “trycloudflare” tunnels. Campaign message volumes range from hundreds to tens of thousands of messages impacting dozens to thousands of organizations globally. In addition to English, researchers observed French, Spanish, and German language lures. Xworm, AsyncRAT, and VenomRAT campaigns are often higher volume than campaigns delivering Remcos or GuLoader. Lure themes vary, but typically include business-relevant topics like invoices, document requests, package deliveries, and taxes. While the tactics, techniques and procedures (TTPs) of the campaigns remain consistent, the threat actor does appear to modify different parts of the attack chain to increase sophistication and defense evasion. For example, initial campaigns used little to no obfuscation in their helper scripts. The scripts often included detailed comments about the functionality of the code. However, this changed in June when the threat actors began to incorporate obfuscation in their code. Helper script without obfuscation (May 2024 campaign example). Helper script with obfuscation (June 2024 campaign example). Threat actor abuse of TryCloudflare tunnels became popular in 2023 and appears to be increasing among cybercriminal threat actors. Each use of TryCloudflare Tunnels will generate a random subdomain on trycloudflare[.]com, for example ride-fatal-italic-information[.]trycloudflare[.]com. Traffic to the subdomains is proxied through Cloudflare to the operators\' local server. Campaign examples AsyncRAT / Xworm Campaign 28 May 2024 Proofpoint observed a campaign on 28 May 2024 delivering AsyncRAT and Xworm. In this campaign, tax-themed messages contained URLs leading to a zipped .URL file. The campaign targeted organizations in law and finance and included less than 50 total messages. 28 May 2024 email lure using 2023 tax themes. The .URL file pointed to a remote .LNK file. If executed, it led to a CMD helper script w	Malware Threat		★★★
	2024-08-01 10:00:17	Comment les variantes de ransomware «professionnelles» augmentent les groupes de cybercriminalité How “professional” ransomware variants boost cybercrime groups (lien direct)	Les chercheurs de Kaspersky ont étudié trois groupes de ransomwares qui ont fait des échantillons de logiciels malveillants nouvellement construits basés sur Babuk, Lockbit, Chaos et autres, tout en manquant de ressources professionnelles. Kaspersky researchers investigated three ransomware groups that tapped newly built malware samples based on Babuk, Lockbit, Chaos and others, while lacking professional resources.	Ransomware Malware		★★★
	2024-08-01 07:22:55	Chat au coin du feu noir: les consommateurs demandent des applications mobiles sécurisées;Il est grand temps pour que les marques livrent Black Hat Fireside Chat: Consumers demand secure mobile apps; it\\'s high time for brands to deliver (lien direct)	> Deux décennies plus de vagues durables après la vague de logiciels malveillants et de fraude de l'application mobile ont finalement fait des ravages sur les utilisateurs. vient maintenant un enquête mondiale de appdome et owasp qui révèle que la grande majorité des consommateurs en sont marre. i & # 8230; (plus…) Le message Chat au coin du feu du chapeau noir: les consommateurs demandent des applications mobiles sécurisées;Il est grand temps pour que les marques livrent apparaissent d'abord sur le dernier chien de garde . >Two-plus decades of enduring wave after wave of mobile app malware and fraud has finally taken its toll on users. Now comes a global survey from Appdome and OWASP that reveals the vast majority of consumers are fed up. I … (more…) The post Black Hat Fireside Chat: Consumers demand secure mobile apps; it\'s high time for brands to deliver first appeared on The Last Watchdog.	Malware Mobile		★★★
	2024-08-01 05:52:04	Mendiant pour les bornes de soudures et plus d'informations Begging for Bounties and More Info Stealer Logs (lien direct)	tl; dr & # x2014;Des dizaines de millions de références obtenues à partir de journaux d'info Stealer remplies de logiciels malveillants ont été publiés sur les canaux télégrammes le mois dernier et utilisés pour secouer les entreprises pour les primes de bogues sous la fausse déclaration Les données provenaient de leur service. Combien de tentatives d'escroqueries obtenez-vous chaque jour? TL;DR — Tens of millions of credentials obtained from info stealer logs populated by malware were posted to Telegram channels last month and used to shake down companies for bug bounties under the misrepresentation the data originated from their service.How many attempted scams do you get each day?	Malware		★★★
	2024-08-01 01:09:55	Sceau de menthe: une étude complète d'un voleur d'informations basé sur un python Mint Stealer: A Comprehensive Study of a Python-Based Information Stealer (lien direct)	## Snapshot Researchers at Cyfirma have identified Mint Stealer, an [information-stealing malware](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) operating within a malware-as-a-service (MaaS) framework. Mint Stealer is designed to covertly exfiltrate a wide-range of sensitive data from compromised systems, including web browser data, cryptocurrency wallet details, gaming credentials, VPN client information, messaging app data, FTP client data, and more. ## Description Mint-stealer\'s capabilities include capturing system information, detecting debuggers and analysis tools, continuously capturing clipboard data through PowerShell commands, encrypting exfiltrated data, and communicating with its C2 server for updates and instructions. Mint Stealer is created using the Nuitka Python compiler and relies on Python dynamic modules to support its functionality. The initial payload acts as a dropper, with the main payload hidden in a compressed form within the resources section of the executable. It uploads stolen data to free file-sharing websites and communicates with its command-and-control server (C2) for updates and instructions. The threat actor behind Mint Stealer is associated with another malware-selling website, cashout\[.\]pw, and offers hosting services that do not respect DMCA requests. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Often, infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. The new class of actors enabled by the infostealer ecosystem demonstrate that it is possible to gain initial access to an organization with minimal native malware development skills, by purchasing tools already available. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. They can target a range of information like session tokens and cookies, saved passwords, financial information, and credentials for internet-facing systems and applications. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win32/Casdet ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Information stealing malware activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magic	Ransomware Spam Malware Tool Threat Studies		★★★
	2024-07-31 22:40:07	Rapport trimestriel de la cyber-menace: MITER ATT & CK Framework Trends in Osint (avril 2024 & # 8211; juin 2024) Quarterly cyber threat report: MITRE ATT&CK framework trends in OSINT (April 2024 – June 2024) (lien direct)	## Snapshot This report presents an analysis of recent trends in cyber threats based on 111 articles published by threat researchers across the security community between April and June 2024. These articles are curated by Microsoft Threat Intelligence from across a number of trusted sources and included in Microsoft Defender Threat Intelligence as open source intelligence (OSINT) articles. The analysis focuses on the nearly 1,000 MITRE ATT&CK framework tags correlated to the content in each article. By distilling insights from these tags and the related intelligence, we can highlight prevalent tactics, techniques, and procedures (TTPs) observed in the cyber security landscape over the past quarter. This dataset is not exhaustive but represents a curated set of most high-profile cyber threat intelligence reporting from across the security community. When prioritizing cyber security efforts, it\'s essential to understand the trending TTPs observed in the wild. This knowledge helps defenders make informed decisions about the most effective strategies to implement, especially where to focus engineering efforts and finite resources. ## Activity Overview - Initial access: Phishing: Phishing remains a prevalent initial access method, mentioned in a third of reports, including spear-phishing attachments and links. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. - Defense evasion: Obfuscated files or information: Over a third of reports highlighted the use of obfuscation techniques, such as dynamic API resolution and steganography, to evade detection. This trend is likely underpinned by factors such as the cybercrime market for obfuscating even basic credential theft malware as well as the growing sophistication in some malware to bypass traditional security measures. - Command and control: Ingress tool transfer: Ingress tool transfer was the most frequently referenced technique, involving the transfer of tools from an external system to a compromised one. Key threats driving the prevalence of this tactic included an increase in OSINT reporting on threat actors misusing the ms-appinstaller URI scheme (App Installer) to distribute malware. - Execution: Command and scripting interpreter/PowerShell: Execution through PowerShell was prominent, continuing its trend of broad adoption in attacks over the past decade. The widespread adoption of PowerShell to launch malicious code is in part due to numerous toolkits that have been developed to allow quick deployment of a wide range of attacks. - Exfiltration: Exfiltration over C2 channel: The most commonly referenced exfiltration method was over the command-and-control (C2) channel, highlighting the critical need for network monitoring and anomaly detection to identify and mitigate data breaches. The frequent reports on infostealers such as Lumma and DarkGate-commodity malware used to steal information from a target device and send it to the threat actor-are likely key drivers of this MITRE tag\'s prominence. - Impact: Data encrypted for impact: Ransomware involving data encryption was the most frequently observed impact technique, with LockBit and other groups exploiting vulnerabilities. The use of Bring Your Own Vulnerable Driver (BYOVD) tactics, such as Warp AV Killer, remained common. #### Initial access: Phishing Phishing remains a significant initial access method in open-source research, with a third of the reports mentioning its use. This includes both spear-phishing attachments and spear-phishing links. Phishing involves deceptive attempts to trick individuals into divulging sensitive information or installing malicious software, often through seemingly legitimate emails. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. Phishing remains a dominant method for initial access in cyber threat landscapes due to its effective	Ransomware Spam Malware Tool Vulnerability Threat Legislation Prediction Cloud		★★★
	2024-07-31 20:02:49	(Déjà vu) Socgholish malware attaquant les utilisateurs de Windows à l'aide d'une fausse mise à jour du navigateur SocGholish Malware Attacking Windows Users Using Fake Browser Update (lien direct)	## Snapshot GData Software analysts found that the [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) malware, favored by threat groups like Evil Corp (tracked by Microsoft as [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc)) and TA569 (tracked by Microsft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9)), is actively targeting Windows users with fake browser updates. ## Description This complex JavaScript downloader uses drive-by download techniques to silently install malware on user machines. It has evolved to exploit vulnerable WordPress plugins using the Keitaro traffic distribution system, with its infrastructure traced to Russian-hosted servers. The malware employs advanced techniques such as user profiling, browser fingerprinting, and fake browser update pages as lures. Potential payloads associated with SocGholish include backdoors, information stealers, remote access Trojans, and ransomware. Recent infections indicate the use of PowerShell scripts for persistence on compromised systems, enhancing its adaptability and evasion capabilities. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actors [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft) and [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc) use SocGholish/FakeUpdates as their primary technique to gain intial access. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [TrojanDownloader:JS/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/FakeUpdates.J&threatId=-2147133367?ocid=magicti_ta_ency) - [Behavior:Win32/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/FakeUpdates.A&threatId=-2147140656?ocid=magicti_ta_ency) - [Trojan:JS/FakeUpdate](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/FakeUpdate.C) - [Behavior:Win32/Socgolsh](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB&threatId=-2147152249?ocid=magicti_ta_ency) - [TrojanDownloader:JS/SocGholish](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/SocGholish!MSR&threatId=-2147135220?ocid=magicti_ta_ency) - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - [Behavior:Win32/Socgolsh.SB](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB) - [Trojan:Win32/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Blister.A&threatId=-2147152044?ocid=magicti_ta_ency) - [Trojan:Win64/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Blister.A&threatId=-2147153518?ocid=magicti_ta_ency) - [Behavior:Win32/SuspRclone](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Sus	Ransomware Malware Tool Threat		★★★
	2024-07-31 18:38:00	Les logiciels malveillants liés à la Corée du Nord ciblent les développeurs sur Windows, Linux et MacOS North Korea-Linked Malware Targets Developers on Windows, Linux, and macOS (lien direct)	Les acteurs de la menace derrière une campagne de logiciels malveillants en cours ciblant les développeurs de logiciels ont démontré de nouveaux logiciels malveillants et tactiques, élargissant leur objectif pour inclure les systèmes Windows, Linux et MacOS. Le groupe d'activités, surnommé Dev # Popper et lié à la Corée du Nord, s'est avéré avoir distingué les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient. "Cette forme d'attaque est un The threat actors behind an ongoing malware campaign targeting software developers have demonstrated new malware and tactics, expanding their focus to include Windows, Linux, and macOS systems. The activity cluster, dubbed DEV#POPPER and linked to North Korea, has been found to have singled out victims across South Korea, North America, Europe, and the Middle East. "This form of attack is an	Malware Threat		★★★
	2024-07-31 18:17:54	(Déjà vu) Donot APT GROUP ciblant le Pakistan Donot APT Group Targeting Pakistan (lien direct)	#### Targeted Geolocations - United States - Eastern Europe - Northern Europe - Western Europe - Southern Europe - Central Asia - East Asia - South Asia - Southeast Asia #### Targeted Industries - Government Agencies & Services - Information Technology - Defense Industrial Base ## Snapshot Rewterz published a profile on APT-C-35, also known as the Donot APT group, a cyber espionage group active since at least 2013. ## Description The Donot APT group is known to target government and military organizations, as well as companies in the aerospace, defense, and high-tech industries. Their activities have been observed in several regions, including the United States, Europe, and Asia. The Donot group\'s motivations are information theft and espionage. The group is known for targeting Pakistani users with Android malware named StealJob, disguised under the name “Kashmiri Voice” to steal confidential information and intellectual property. In July 2022, they used Comodo\'s certificate to sign their spyware, demonstrating their high level of technical skill. The Donot APT group employs various tactics such as spear-phishing emails, malware, and custom-developed tools, often using third-party file-sharing websites for malware distribution. They are well-funded and use sophisticated techniques to evade detection, including encryption and file-less malware. ## Additional Analysis According to a number of additional sources, Donot group is likely [linked to the Indian government](https://socradar.io/apt-profile-apt-c-35-donot-team/). Initial access to victim environments is typically achieved through phishing campaigns and the group has been observed exploiting vulnerabilities in Microsoft Office, including [CVE-2018-0802](https://security.microsoft.com/intel-explorer/cves/CVE-2018-0802/), [CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/), and [CVE-2017-8570](https://security.microsoft.com/intel-explorer/cves/CVE-2017-8570/). Donot group is a persistent and consistent actor. [ESET researchers](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) note the group is known to repeatedly attacks the same target, even if they are removed fromt he victim environment. In some cases, the Donot group launched spearphishing campaigns against targets every two to four months. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender f	Ransomware Malware Tool Vulnerability Threat Mobile Industrial Technical		★★★
	2024-07-31 17:52:40	Microsoft dit que les groupes de ransomwares exploitent le défaut VMware ESXi nouvellement paralysé Microsoft Says Ransomware Groups Are Exploiting the Newly-Patched VMware ESXi Flaw (lien direct)	La vulnérabilité CVE-2024-37085 est présente dans les hyperviseurs ESXi et peut être utilisée pour déployer des logiciels malveillants de données-exorsion. The CVE-2024-37085 vulnerability is present in ESXi hypervisors and can be used to deploy data-extortion malware.	Ransomware Malware Vulnerability		★★★
	2024-07-31 16:40:35	(Déjà vu) Phishing targeting Polish SMBs continues via ModiLoader (lien direct)	#### Géolocations ciblées - Pologne - Roumanie - Italie ## Instantané Des chercheurs de l'ESET ont détecté des campagnes de phishing généralisées ciblant les petites et moyennes entreprises (PME) en Pologne, en Roumanie et en Italie en mai 2024. ## Description Les campagnes visant à distribuer diverses familles de logiciels malveillants, y compris les remcos à distance à distance (rat), [agent Tesla] (https://security.microsoft.com/intel-profiles/0116783AB9DA099992EC014985D7C56BFE2D8C360C6E7DD6CD39C8D6555555538) et FormBook) et Forme Modiloader (également connu sous le nom de dbatloader).Cela marque un changement de tactique comme dans les campagnes précédentes, les acteurs de la menace ont exclusivement utilisé l'accryptor pour offrir des charges utiles de suivi. Dans les campagnes les plus récentes, les attaquants ont utilisé précédemment les comptes de messagerie et les serveurs d'entreprise pour diffuser des e-mails malveillants, héberger des logiciels malveillants et collecter des données volées.Les e-mails de phishing contenaient des pièces jointes avec des noms comme RFQ8219000045320004.TAR ou ZAM & OACUTE; WIENIE \ _NR.2405073.IMG, qui ont été utilisés pour livrer Modiloader.Une fois lancé, Modiloader a téléchargé et exécuté la charge utile finale, qui variait entre les différentes campagnes.Les attaquants ont exfiltré des données utilisant différentes techniques, y compris SMTP et des serveurs Web compromis. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Modiloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/modiloader) - [Backdoor: JS / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos) - [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name=backdoor: MSIL / REMCOS) - [Backdoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-dEscription? Name = Backdoor: Win32 / Remcos) - [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-d-dEscription? Name = Trojan: Win32 / Remcos) - [Trojan: win32 / agenttesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/agenttesla) - [Trojanspy: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojanspy:mil/agenttesla) - [Trojandownloader: MSIL / FormBook] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojandownher:mil/formBook.kan!mtb&agne ;Threatid=-2147130651&ocid = magicti_ta_ency) ## Recommandations Microsoft recommande les atténuations suivantes to Réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) So que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defen	Ransomware Malware Tool Threat		★★★
	2024-07-31 16:35:06	Chrome adopte le cryptage lié aux applications pour contrecarrer les logiciels malveillants de voler les biscuits Chrome adopts app-bound encryption to stymie cookie-stealing malware (lien direct)	Les utilisateurs de Windows obtiennent désormais des cookins Secret Security Google, selon Google, il est amélioré la sécurité des données sensibles gérées par Chrome pour les utilisateurs de Windows pour lutter contre le fléau des logiciels malveillants d'infosaler ciblant les cookies.…	Malware		★★★
	2024-07-31 16:31:00	Les pirates chinois ciblent les entreprises japonaises avec des logiciels malveillants Lodeinfo et Noopdoor Chinese Hackers Target Japanese Firms with LODEINFO and NOOPDOOR Malware (lien direct)	Les organisations japonaises sont la cible d'un acteur de menace nationale chinoise qui exploite les familles de logiciels malveillants comme Lodeinfo et Noopdoor pour récolter des informations sensibles auprès d'hôtes compromis tout en restant furtivement sous le radar dans certains cas pendant une période allant de deux à trois ans. La société israélienne de cybersécurité Cybearason suit la campagne sous le nom de Cuckoo Spear, Japanese organizations are the target of a Chinese nation-state threat actor that leverages malware families like LODEINFO and NOOPDOOR to harvest sensitive information from compromised hosts while stealthily remaining under the radar in some cases for a time period ranging from two to three years. Israeli cybersecurity company Cybereason is tracking the campaign under the name Cuckoo Spear,	Malware Threat		★★★
	2024-07-31 16:02:56	Campagne massive de logiciels malveillants Android massif découvert Massive OTP-Stealing Android Malware Campaign Discovered (lien direct)	> Les logiciels malveillants Android peuvent intercepter et voler les OTP et les informations de connexion, conduisant à des prises de contrôle comptes. >Android malware can intercept and steal OTPs and login credentials, leading to complete account takeovers.	Malware Mobile		★★★
	2024-07-31 15:31:00	Les cybercriminels déploient des applications Android de logiciels malveillants 100K + pour voler les codes OTP Cybercriminals Deploy 100K+ Malware Android Apps to Steal OTP Codes (lien direct)	Une nouvelle campagne malveillante a été observée en utilisant des applications Android malveillantes pour voler des messages SMS des utilisateurs depuis au moins février 2022 dans le cadre d'une campagne à grande échelle. Les applications malveillantes, couvrant plus de 107 000 échantillons uniques, sont conçues pour intercepter les mots de passe ponctuels (OTP) utilisés pour la vérification des comptes en ligne pour commettre une fraude à l'identité. "Sur ces 107 000 échantillons de logiciels malveillants, plus de 99 000 A new malicious campaign has been observed making use of malicious Android apps to steal users\' SMS messages since at least February 2022 as part of a large-scale campaign. The malicious apps, spanning over 107,000 unique samples, are designed to intercept one-time passwords (OTPs) used for online account verification to commit identity fraud. "Of those 107,000 malware samples, over 99,000 of	Malware Mobile		★★★
	2024-07-31 15:30:00	Les nouveaux logiciels malveillants de voleur SMS ciblent plus de 600 marques mondiales New SMS Stealer Malware Targets Over 600 Global Brands (lien direct)	Découvert par l'équipe ZLABS de Zimperium \\, le malware SMS Stealer a été trouvé dans plus de 105 000 échantillons Discovered by Zimperium\'s zLabs team, the SMS Stealer malware was found in over 105,000 samples	Malware		★★★
	2024-07-31 15:07:00	Cyber Espionage Group XDSPY cible les entreprises en Russie et en Moldavie Cyber Espionage Group XDSpy Targets Companies in Russia and Moldova (lien direct)	Les entreprises de Russie et de Moldavie ont été la cible d'une campagne de phishing orchestrée par un groupe de cyber-espionnage peu connu connu sous le nom de XDSPY. Les résultats proviennent de la société de cybersécurité F.A.C.T., qui a déclaré que les chaînes d'infection conduisaient au déploiement d'un logiciel malveillant appelé DSDownloader.L'activité a été observée ce mois-ci, a-t-il ajouté. XDSPY est un acteur de menace d'origine indéterminée qui était le premier Companies in Russia and Moldova have been the target of a phishing campaign orchestrated by a little-known cyber espionage group known as XDSpy. The findings come from cybersecurity firm F.A.C.C.T., which said the infection chains lead to the deployment of a malware called DSDownloader. The activity was observed this month, it added. XDSpy is a threat actor of indeterminate origin that was first	Malware Threat		★★★
	2024-07-31 15:03:11	Les fausses mises à jour du navigateur déploient un logiciel Asyncrat et malveillant BOINC Fake Browser Updates Deploy AsyncRAT and Malicious BOINC Software (lien direct)	## Snapshot Researches at Huntress identified new behaviors associated with SocGholish, or FakeUpdates, malware. Typically, infections start when a user visits a compromised website and downloads a fake browser update, which executes malicious code to download further malware. . ## Description Initial access involves a malicious JavaScript file that downloads subsequent stages of the attack. In this case, two separate chains were identified: one leading to a fileless AsyncRAT installation and the other to a malicious BOINC (Berkeley Open Infrastructure Network Computing Client) installation. The AsyncRAT chain involved several stages with obfuscated PowerShell scripts and anti-VM techniques, eventually leading to a connection to a command and control (C2) server. The BOINC chain involved dropping multiple files, creating directories and scheduled tasks, and renaming executables to disguise their malicious intent. The BOINC software, typically used for legitimate distributed computing projects, was configured to connect to malicious servers, enabling threat actors to collect data and execute tasks on infected hosts. Persistence was maintained through scheduled tasks, and the use of BOINC in this context is relatively unusual. Both chains showed similarities with previous SocGholish activities, such as using fake browser updates and PowerShell scripts. The new campaigns utilized recently registered domains and shared infrastructure noted by other security researchers. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actor, [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft), uses SocGholish/FakeUpdates as their primary technique to gain intial access. Find out more about Mustard Tempest including indicators [here](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=description). [AsyncRAT](https://sip.security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776) is a remote access tool (RAT) that allows a user to control a remote computer. It is designed to evade detection and is often used by attackers to gain unauthorized access to a victim\'s system. AsyncRAT is written in .NET and is capable of running on Windows machines. It can perform various malicious activities such as keylogging, file stealing, and ransomware deployment. Its name comes from its use of asynchronous programming techniques, which allow it to carry out multiple tasks simultaneously without blocking the program\'s main thread. Mirosoft researchers track the AsyncRAT portion of this attack to threat actor, [Storm-0426](https://security.microsoft.com/intel-profiles/2ef8bd6a2aa00638707e7eba5e86040ba0d88c4c0da6ad7bb0c95a8999e2af83). ## Detections/Hunting Queries #### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - Trojan:JS/FakeUpdate.C - Trojan:JS/FakeUpdate.B - Behavior:Win32/Socgolsh.SB #### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - SocGholish command-and-control - Suspicious \'Socgolsh\' behavior was blocked The following aler	Ransomware Malware Tool Threat		★★★
	2024-07-31 14:54:59	(Déjà vu) Zimperium découvre la campagne sophistiquée du voleur SMS: les logiciels malveillants ciblés Android permettent un réseau d'entreprise et une infiltration d'application Zimperium Uncovers Sophisticated SMS Stealer Campaign: Android-Targeted Malware Enables Corporate Network and Application Infiltration (lien direct)	Plus de 105 000 échantillons de logiciels malveillants ont identifié Résultats clés: Plus de 95% sont / étaient inconnus et des échantillons de logiciels malveillants indisponibles Les logiciels malveillants ont détourné des messages texte OTP sur plus de 600 marques mondiales Environ.4 000 échantillons contenaient des numéros de téléphone pré-inclus dans Android Kit 13 serveurs C & c utilisés pour communiquer et potentiellement recevoir des messages SMS volés Plus de 2 600 robots télégrammes liés à la campagne, servant de canal de distribution - mise à jour malveillant Over 105,000 Malware Samples Identified Key Findings: Over 95% are/were unknown and unavailable malware samples Malware hijacked OTP text messages across more than 600 global brands Approx. 4,000 samples contained phone numbers pre-embedded within Android kit 13 C&C servers used to communicate and potentially receive stolen SMS messages Over 2,600 Telegram bots linked to campaign, serving as a distribution channel - Malware Update	Malware Mobile		★★★
	2024-07-31 13:47:13	Google Ads Push Fake Google Authenticator Site Installation de logiciels malveillants Google ads push fake Google Authenticator site installing malware (lien direct)	Google a été victime de sa propre plate-forme publicitaire, permettant aux acteurs de menace de créer de fausses publicités Google Authenticator qui poussent le malware de voleur d'informations DeerStealeer.[...] Google has fallen victim to its own ad platform, allowing threat actors to create fake Google Authenticator ads that push the DeerStealer information-stealing malware. [...]	Malware Threat		★★★
	2024-07-31 12:24:42	Zimperium découvre un malware ciblant Android qui permet d\'infiltrer les réseaux et applications d\'entreprise (lien direct)	>Zimperium, premier fournisseur mondial de solutions de sécurité mobile, annonce la découverte d’une nouvelle menace. Découvert par l’équipe zLabs de Zimperium lors d’une analyse de routine, ce malware a été identifié dans plus de 105 000 échantillons, à travers plus de 600 marques mondiales. Des chiffres qui soulignent sa portée et les risques qu'il génère […] The post Zimperium découvre un malware ciblant Android qui permet d'infiltrer les réseaux et applications d'entreprise first appeared on UnderNews.	Malware Mobile		★★★
	2024-07-31 12:23:56	Un nouveau malware Android essuie votre appareil après la drainage des comptes bancaires New Android malware wipes your device after draining bank accounts (lien direct)	Un nouveau logiciel malveillant Android que les chercheurs appelle \\ 'Bingomod \' peut essuyer les appareils après avoir réussi à voler de l'argent aux comptes bancaires des victimes en utilisant la technique de fraude sur les appareils.[...] A new Android malware that researchers call \'BingoMod\' can wipe devices after successfully stealing money from the victims\' bank accounts using the on-device fraud technique. [...]	Malware Mobile		★★★
	2024-07-31 12:19:58	Zimperium découvre une campagne sophistiquée de vol de SMS : un malware ciblant Android permet l\'infiltration des réseaux et des applications d\'entreprise (lien direct)	Plus de 105 000 échantillons de malwares identifiés – Plus de 95 % sont des échantillons de malwares inconnus et indisponibles. – Les malwares ont détourné les messages OTP de plus de 600 marques internationales – Environ 4 000 échantillons contenaient des numéros de téléphone pré-intégrés dans le kit Android. – 13 serveurs C&C utilisés pour communiquer et potentiellement recevoir des SMS volés – Plus de 2 600 bots Telegram liés à la campagne, servant de canal de distribution - Malwares	Malware Mobile		★★★

Last update at: 2024-08-03 06:19:01
See our sources.

To see everything: Our RSS (filtrered)