What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-08-23 16:30:00 | Variante de malware xloder macOS revient avec une façade officielle XLoader MacOS Malware Variant Returns With OfficeNote Facade (lien direct) |
Sentinelone a observé que l'application imitante ciblait les utilisateurs dans des environnements de travail
SentinelOne observed that the imitating application targeted users within work environments |
Malware | ★★ | |
 |
2023-08-23 10:00:00 | Versa améliore le package SASE avec des outils de sécurité basés sur l'IA Versa enhances SASE package with AI-based security tools (lien direct) |
Versa renforce les fonctionnalités de gestion de la sécurité de l'IA de son package intégré Secure Access Service Edge (SASE) pour inclure une amélioration de la détection de logiciels malveillants pour la protection avancée des menaces, la microsegmentation du réseau et la protection génératrice de l'IA pour aider les clients à mieux détecter et atténuer rapidement les menaces à leur réseauService et applications. Le fournisseur prend en charge AI dans son intégré Package Versa Sase qui inclut SD WAN, un pare-feu de nouvelle génération et d'application Web, la prévention des intrusions, le support zéro fiducie et la prévention de la perte de données. Pour lire cet article en entier, veuillez cliquer ici
Versa is bolstering the AI security management features of its integrated Secure Access Service Edge (SASE) package to include improved malware detection for Advanced Threat Protection, network microsegmention and generative AI protection to help customers better detect and quickly mitigate threats to their networked service and applications.The vendor supports AI in its integrated Versa SASE package that includes SD WAN, a next-generation and web application firewall, intrusion prevention, zero trust support and data loss prevention.To read this article in full, please click here |
Malware Tool Threat | ★★ | |
 |
2023-08-23 10:00:00 | Défense de menace mobile ou buste Mobile threat defense or bust (lien direct) |
The case for unified endpoint management and mobile threat defense The evolution of endpoint management Unified endpoint management (UEM) has played a significant role over the years in enabling companies to improve the productivity and security of their corporate mobile devices and applications. In the early days of endpoint management there were separate workflows and products as it pertains to traditional endpoints, such as desktops and laptops, versus mobile devices. Over time, administrators grew frustrated with the number of tools they were required to learn and manage so developers moved toward an integrated solution where all endpoint devices, regardless of type, could be inventoried, managed, and have consistent policies applied through a single pane of glass. Today, UEMs allow IT administrators to be more productive by enabling them to set and enforce policies as to the type of data and applications an employee can access, providing the administrators with granular control and more effective security. These UEM platforms boast security features including the ability to identify jailbroken or rooted devices, enforcing passcodes, and enabling companies to wipe the data from mobile devices in the event they become lost or stolen. In general, UEMs have and continue to play an integral part in improving the management and productivity of business-critical mobile endpoints. Possible avenues for attack However, in today’s environment, companies are experiencing a significant rise in the number of sophisticated and targeted malware attacks whose goal is to capture their proprietary data. Only a few years ago, losing a mobile device meant forfeiture of content such as text messages, photographs, contacts, and calling information. Today’s smartphones have become increasingly sophisticated not only in their transactional capabilities but also represent a valuable target, storing a trove of sensitive corporate and personal data, and in many cases include financial information. If the phone stores usernames and passwords, it may allow a malicious actor to access and manipulate a user’s account via banking or e-commerce websites and apps. To give you a sense of the magnitude of the mobile security issues: The number of mobile users in enterprise environments clicking on more than six malicious links annually has jumped from 1.6% in 2020 to 11.8% in 2022 In 2021, banking trojan attacks on Android devices have increased by 80% In 2022, 80% of phishing attacks targeted mobile devices or were designed to function on both mobile devices and desktops In 2022, 43% of all compromised devices were fully exploited, not jailbroken or rooted-an increase of 187% YOY Attack vectors come in various forms, with the most common categorized below: Device-based threats – These threats are designed to exploit outdated operating systems, risky device configurations and jailbroken/rooted devices. App threats – Malicious apps can install malware, spyware or rootkits, or share information with the developer or third parties unbeknownst to the user, including highly sensitive business and personal data. Web and content threats – Threats may be transmitted | Malware Tool Vulnerability Threat | ★★★ | |
 |
2023-08-23 09:53:26 | Winrar Zero-Day exploité depuis avril pour pirater des comptes commerciaux WinRAR zero-day exploited since April to hack trading accounts (lien direct) |
Une vulnérabilité Winrar Zero-Day suivie en tant que CVE-2023-38831 a été activement exploitée pour installer des logiciels malveillants lors du clic sur des fichiers inoffensifs dans une archive, permettant aux pirates de violer les comptes de trading de crypto-monnaie en ligne.[...]
A WinRar zero-day vulnerability tracked as CVE-2023-38831 was actively exploited to install malware when clicking on harmless files in an archive, allowing the hackers to breach online cryptocurrency trading accounts. [...] |
Malware Hack Vulnerability | ★★ | |
 |
2023-08-22 19:10:00 | Les indications plus récentes et meilleures signalent un changement dangereux dans les logiciels malveillants macOS Newer, Better XLoader Signals a Dangerous Shift in macOS Malware (lien direct) |
Les logiciels malveillants destinés à MacOS ne sont plus seulement une imitation d'un bogue Windows, comme le démontre un nouvel infostealer sur les ordinateurs portables Mac.
Malware aimed at macOS is no longer just a knockoff of a Windows bug, as a new infostealer proliferating on Mac laptops demonstrates. |
Malware | ★★ | |
 |
2023-08-22 18:40:00 | La version macOS de l'informations volet xloder obtient une mise à niveau MacOS version of info-stealing XLoader gets an upgrade (lien direct) |
Les chercheurs ont découvert une nouvelle variante des logiciels malveillants Xloader qui sont meilleurs pour esquiver les mesures de sécurité d'Apple \\ car il essaie de voler des informations sensibles à des appareils MacOS.La version initiale pour les ordinateurs Apple a été découverte en 2021 et n'a pu infecter que des appareils sur lesquels les utilisateurs ont installé le logiciel Java.La nouvelle version macOS,
Researchers have discovered a new variant of the XLoader malware that is better at dodging Apple\'s security measures as it tries to steal sensitive information from macOS devices. The initial version for Apple computers was discovered in 2021 and could only infect devices on which users installed the Java software package. The new macOS version, |
Malware | ★★ | |
|
2023-08-22 12:47:21 | Nouvelles attaques de logiciels malveillants Hiatusrat cibler le département de la Défense américaine New HiatusRAT malware attacks target US Defense Department (lien direct) |
Dans une nouvelle campagne de logiciels malveillants Hiatusrat, les acteurs de la menace ont ciblé un serveur appartenant au ministère américain de la Défense dans ce que les chercheurs ont décrit comme une attaque de reconnaissance.[...]
In a new HiatusRAT malware campaign, threat actors have targeted a server belonging to the U.S. Department of Defense in what researchers described as a reconnaissance attack. [...] |
Malware Threat | ★★ | |
 |
2023-08-22 12:35:00 | Nouvelle variante de la malware Xloader MacOS déguisée en application \\ 'Offénote \\' de productivité New Variant of XLoader macOS Malware Disguised as \\'OfficeNote\\' Productivity App (lien direct) |
Une nouvelle variante d'un logiciel malveillant d'Apple MacOS appelé Xloader a fait surface dans la nature, déguisant ses caractéristiques malveillantes sous le couvert d'une application de productivité de bureau appelée "Officenote".
"La nouvelle version de Xloader est regroupée à l'intérieur d'une image de disque Apple standard avec le nom OffoTote.DMG", a déclaré les chercheurs de la sécurité de Sentineone, Dinesh Devadoss et Phil Stokes dans une analyse de lundi."L'application
A new variant of an Apple macOS malware called XLoader has surfaced in the wild, masquerading its malicious features under the guise of an office productivity app called "OfficeNote." "The new version of XLoader is bundled inside a standard Apple disk image with the name OfficeNote.dmg," SentinelOne security researchers Dinesh Devadoss and Phil Stokes said in a Monday analysis. "The application |
Malware | ★★ | |
|
2023-08-22 10:05:00 | Chinese APT cible Hong Kong dans l'attaque de la chaîne d'approvisionnement Chinese APT Targets Hong Kong in Supply Chain Attack (lien direct) |
Surnommée CarderBee, le groupe a utilisé des logiciels légitimes et des logiciels malveillants signés par Microsoft pour diffuser la porte dérobée KorPlug / Plugx vers diverses cibles asiatiques.
Dubbed Carderbee, the group used legitimate software and Microsoft-signed malware to spread the Korplug/PlugX backdoor to various Asian targets. |
Malware | ★★ | |
 |
2023-08-22 10:00:00 | Une nouvelle attaque de la chaîne d'approvisionnement a frappé près de 100 victimes et indique sur la Chine New Supply Chain Attack Hit Close to 100 Victims-and Clues Point to China (lien direct) |
Les pirates, qui ont surtout ciblé les victimes à Hong Kong, ont également détourné le modèle de confiance de Microsoft \\ pour rendre leur malware plus difficile à détecter.
The hackers, who mostly targeted victims in Hong Kong, also hijacked Microsoft\'s trust model to make their malware harder to detect. |
Malware | ★★★ | |
|
2023-08-22 10:00:00 | Le nouveau groupe APT lance la campagne de chaîne d'approvisionnement New APT Group Launches Supply Chain Campaign (lien direct) |
Logiciel légitime utilisé pour déployer des logiciels malveillants de porte dérobée
Legitimate software used to deploy backdoor malware |
Malware | ★★ | |
|
2023-08-21 15:39:00 | Ce malware a transformé des milliers de PC Windows et macOS piratés en serveurs proxy This Malware Turned Thousands of Hacked Windows and macOS PCs into Proxy Servers (lien direct) |
Les acteurs de la menace tirent parti de l'accès aux machines Windows et MacOS infectées par malware pour fournir une application de serveur proxy et les utiliser comme nœuds de sortie pour rediriger les demandes de proxy.
Selon AT & amp; t Alien Labs, la société anonyme qui offre le service proxy exploite plus de 400 000 nœuds de sortie proxy, bien qu'il ne soit pas immédiatement clair combien d'entre eux ont été cooptés par des logiciels malveillants installés sur
Threat actors are leveraging access to malware-infected Windows and macOS machines to deliver a proxy server application and use them as exit nodes to reroute proxy requests. According to AT&T Alien Labs, the unnamed company that offers the proxy service operates more than 400,000 proxy exit nodes, although it\'s not immediately clear how many of them were co-opted by malware installed on |
Malware Threat | ★★★ | |
 |
2023-08-21 13:51:36 | Les chercheurs découvrent une véritable identité du développeur de logiciels malveillants de Cypherrat et Craxsrat Researchers Uncover Real Identity of CypherRAT and CraxsRAT Malware Developer (lien direct) |
> Les chercheurs en sécurité Cyfirma découvrent l'identité réelle du développeur de logiciels malveillants Cypherrat et Craxsrat et opérateur MAAS.
>Cyfirma security researchers uncover the real identity of the CypherRAT and CraxsRAT malware developer and MaaS operator. |
Malware | ★★ | |
|
2023-08-21 11:07:00 | Hiatusrat Malware Resurfaces: Taiwan Firms and U.S. Militar HiatusRAT Malware Resurfaces: Taiwan Firms and U.S. Military Under Attack (lien direct) |
Les acteurs de la menace derrière les logiciels malveillants de hiatusrat sont revenus de leur hiatus avec une nouvelle vague d'activités de reconnaissance et de ciblage destinées aux organisations basées à Taïwan et à un système d'approvisionnement militaire américain.
En plus de recomposer des échantillons de logiciels malveillants pour différentes architectures, les artefacts auraient été organisés sur de nouveaux serveurs privés virtuels (VPSS), a déclaré Lumen Black Lotus Labs dans un rapport
The threat actors behind the HiatusRAT malware have returned from their hiatus with a new wave of reconnaissance and targeting activity aimed at Taiwan-based organizations and a U.S. military procurement system. Besides recompiling malware samples for different architectures, the artifacts are said to have been hosted on new virtual private servers (VPSs), Lumen Black Lotus Labs said in a report |
Malware Threat | ★★ | |
 |
2023-08-21 10:29:48 | K & uuml; Künstliche Intelligenz in der Informationstechnologie: Drei Fragen, die sich CISOs stellen sollten (lien direct) |
L'année 2023 peut être inscrite dans l'histoire comme l'année de K & Uuml;Ou du moins comme l'année au cours de laquelle les entreprises et les consommateurs égaux aux outils génératifs de KI, comme Chatt.Les prestataires des mensonges de sécurité informatique ne sont pas à l'abri de cet enthousiasme.Lors de la conférence RSA 2023, l'une des conférences internationales internationales dans le domaine de la sécurité informatique, le sujet de l'IA a été abordé dans presque toutes les conférences & # 8211;pour une bonne raison.L'IA a un énorme potentiel pour relier l'industrie.
Nos chercheurs en sécurité ont déjà observé l'utilisation de l'IA par des pirates, qui créent ainsi T & Auml; uusing de véritables e-mails de phishing et accélèrent la construction de logiciels malveillants.La bonne nouvelle: les défenseurs utilisent également l'IA et les lient à leur sécurité chantée, car l'IA peut être utilisée pour détecter et empêcher automatiquement les cyberattaques.Par exemple, cela peut empêcher les e-mails de phishing d'atteindre la boîte de réception.Il peut également réduire les alarmes incorrectes qui prennent du temps qui affligent les équipes informatiques et lient la main-d'œuvre, qui serait mieux utilisée ailleurs
-
rapports spéciaux
/ /
affiche ,
ciso
Das Jahr 2023 könnte als das Jahr der Künstlichen Intelligenz (KI) in die Geschichte eingehen – oder zumindest als das Jahr, in dem Unternehmen und Verbraucher gleichermaßen von generativen KI-Tools geschwärmt haben, wie ChatGPT. Anbieter von IT-Sicherheitslösungen sind gegen diese Begeisterung nicht immun. Auf der RSA-Konferenz 2023, einer der führenden internationalen Fachkonferenzen im Bereich der IT Sicherheit, wurde in fast jedem Vortrag das Thema der KI angesprochen – aus gutem Grund. KI hat ein enormes Potenzial, die Branche zu verändern. Unsere Sicherheitsforscher haben bereits den Einsatz von KI durch Hacker beobachtet, die damit täuschend echte Phishing-E-Mails erstellen und den Bau von Malware beschleunigen. Die gute Nachricht: Auch die Verteidiger verwenden KI und binden sie in ihre Sicherheitslösungen ein, denn KI kann zur automatischen Erkennung und Verhinderung von Cyber-Angriffen eingesetzt werden. Sie kann beispielsweise verhindern, dass Phishing-E-Mails jemals den Posteingang erreichen. Sie kann ebenso die zeitraubenden Fehl-Alarme reduzieren, die IT-Teams plagen und Arbeitskraft binden, welche anderswo besser eingesetzt wäre. - Sonderberichte / affiche, CISO |
Malware | ChatGPT | ★ |
|
2023-08-21 10:00:00 | Volatility Workbench: Empowering Memory Forensics Investigations (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article.
Memory forensics plays a crucial role in digital investigations, allowing forensic analysts to extract valuable information from a computer\'s volatile memory. Two popular tools in this field are Volatility Workbench and Volatility Framework. This article aims to compare and explore these tools, highlighting their features and differences to help investigators choose the right one for their needs.
Volatility Workbench, a powerful tool built on the Volatility Framework, is specifically designed to simplify and enhance the process of memory forensics. This article explores the capabilities of Volatility Workbench, highlighting its importance in uncovering critical evidence and facilitating comprehensive memory analysis.
Understanding Volatility Framework:
Volatility Framework is a robust tool used for memory analysis. It operates through a command-line interface and offers a wide range of commands and plugins. It enables investigators to extract essential data from memory dumps - including running processes, network connections, and passwords. However, it requires technical expertise to utilize effectively.
Volatility introduced people to the power of analyzing the runtime state of a system using the data found in volatile storage (RAM). It also provided a cross-platform, modular, and extensible platform to encourage further work into this exciting area of research. Volatility framework can be downloaded here. The Volativity Foundation provides these tools.
Introducing Volatility Workbench:
Volatility Workbench is a user-friendly graphical interface built on the Volatility Framework. It simplifies memory analysis by providing a visual interface that is more accessible, even for users with limited command-line experience. With Volatility Workbench, investigators can perform memory analysis tasks without the need for extensive command-line knowledge. Volatility Workbench can be downloaded here.
One of the key advantages of Volatility Workbench is its user-friendly interface, designed to simplify the complex process of memory forensics. With its graphical interface, investigators can navigate through various analysis options and settings effortlessly. The tool presents information in a visually appealing manner - with graphs, charts, and timelines, making it easier to interpret and draw insights from extracted data.
The initial interface when the Volatility Workbench is started looks like this:
The Volatility Workbench offers options to browse and select memory dump files in formats such as *.bin, *.raw, *.dmp, and *.mem. Once a memory dump file is chosen, the next step is to select the platform or operating system that the system being analyzed is using.
Once the memory image file and platform is selected, click on Get Process List in Volatility Workbench.
It will begin memory scanning. After that, you can use the multiple option in the command tab by selecting a valid command. The description of the command will be available in the dia |
Malware Tool | ★★ | |
 |
2023-08-21 09:31:41 | Un conte Bard \\'s & # 8211;Comment les faux robots AI essaient d'installer des logiciels malveillants A Bard\\'s Tale – how fake AI bots try to install malware (lien direct) |
La course AI est allumée!Il est facile de perdre la trace des derniers développements et possibilités, et pourtant tout le monde veut voir de première main ce qu'est le battage médiatique.Aperçu pour les cybercriminels!
The AI race is on! It\'s easy to lose track of the latest developments and possibilities, and yet everyone wants to see firsthand what the hype is about. Heydays for cybercriminals! |
Malware | ★★ | |
|
2023-08-20 13:26:54 | Google Chrome pour avertir lorsque les extensions installées sont des logiciels malveillants Google Chrome to warn when installed extensions are malware (lien direct) |
Google teste une nouvelle fonctionnalité dans le navigateur Chrome qui avertira les utilisateurs lorsqu'une extension installée a été supprimée du Chrome Web Store, indiquant généralement qu'il s'agit d'un logiciel malveillant.[...]
Google is testing a new feature in the Chrome browser that will warn users when an installed extension has been removed from the Chrome Web Store, usually indicative of it being malware. [...] |
Malware | ★★★ | |
|
2023-08-19 13:00:00 | Actualités de sécurité cette semaine: une entreprise d'énergie américaine ciblée avec des codes QR malveillants dans une attaque de phishing de masse Security News This Week: US Energy Firm Targeted With Malicious QR Codes in Mass Phishing Attack (lien direct) |
De nouvelles recherches révèlent les stratégies que les pirates utilisent pour masquer leur système de distribution de logiciels malveillants, et les entreprises se précipitent pour publier des atténuations de la vulnérabilité du processeur «Downfall» sur les puces Intel.
New research reveals the strategies hackers use to hide their malware distribution system, and companies are rushing to release mitigations for the “Downfall” processor vulnerability on Intel chips. |
Malware Vulnerability | ★★★ | |
|
2023-08-19 11:58:00 | Des milliers d'applications de logiciels malveillants Android utilisant une compression APK furtive pour échapper à la détection Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection (lien direct) |
Les acteurs de la menace utilisent des fichiers Android Package (APK) avec des méthodes de compression inconnus ou non pris en charge pour échapper à l'analyse des logiciels malveillants.
Cela \\ est selon les résultats de Zimperium, qui ont trouvé 3 300 artefacts tirant parti de ces algorithmes de compression à l'état sauvage.71 des échantillons identifiés peuvent être chargés sur le système d'exploitation sans aucun problème.
Il n'y a aucune preuve que les applications étaient disponibles sur le
Threat actors are using Android Package (APK) files with unknown or unsupported compression methods to elude malware analysis. That\'s according to findings from Zimperium, which found 3,300 artifacts leveraging such compression algorithms in the wild. 71 of the identified samples can be loaded on the operating system without any problems. There is no evidence that the apps were available on the |
Malware Threat | ★★★ | |
|
2023-08-19 10:07:14 | Les pirates utilisent le certificat de code VPN Provider \\ pour signer des logiciels malveillants Hackers use VPN provider\\'s code certificate to sign malware (lien direct) |
Le groupe APT (Advanced Advanced Persistance Menace) aligné en Chine connu sous le nom de \\ 'Bronze Starlight \' a été vu ciblant l'industrie du jeu d'Asie du Sud-Est avec des logiciels malveillants signés en utilisant un certificat valide utilisé par le fournisseur IVACY VPN.[...]
The China-aligned APT (advanced persistent threat) group known as \'Bronze Starlight\' was seen targeting the Southeast Asian gambling industry with malware signed using a valid certificate used by the Ivacy VPN provider. [...] |
Malware | APT 10 | ★★★ |
|
2023-08-17 15:09:00 | Les pirates russes utilisent une application de chat Zulip pour C & C Covert dans les attaques de phishing diplomatique Russian Hackers Use Zulip Chat App for Covert C&C in Diplomatic Phishing Attacks (lien direct) |
Une campagne en cours ciblant les ministères des affaires étrangères des pays alignés de l'OTAN souligne la participation des acteurs de la menace russe.
Les attaques de phishing présentent des documents PDF avec des leurres diplomatiques, dont certains sont déguisés en provenance d'Allemagne, pour livrer une variante d'un malware appelé Duke, qui a été attribué à l'APT29 (aka Bluebravo, Ursa enroulé, confortable, Hemlock, fer, Hemlock,
An ongoing campaign targeting ministries of foreign affairs of NATO-aligned countries points to the involvement of Russian threat actors. The phishing attacks feature PDF documents with diplomatic lures, some of which are disguised as coming from Germany, to deliver a variant of a malware called Duke, which has been attributed to APT29 (aka BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, |
Malware Threat | APT 29 | ★★ |
|
2023-08-17 11:45:38 | Des milliers de systèmes se sont transformés en nœuds de sortie proxy via des logiciels malveillants Thousands of Systems Turned Into Proxy Exit Nodes via Malware (lien direct) |
> Des acteurs de menace ont été observés en déploiement d'une application proxy sur les systèmes Windows et MacOS qui ont été infectés par des logiciels malveillants.
>Threat actors have been observed deploying a proxy application on Windows and macOS systems that were infected with malware. |
Malware | ★★ | |
 |
2023-08-17 10:00:00 | Gozi frappe à nouveau, ciblant les banques, la crypto-monnaie et plus Gozi strikes again, targeting banks, cryptocurrency and more (lien direct) |
> Dans le monde de la cybercriminalité, les logiciels malveillants jouent un rôle de premier plan.Un de ces logiciels malveillants, Gozi, a émergé en 2006 sous le nom de Gozi CRM, également connu sous le nom de CRM ou Papras.Initialement offerte comme plate-forme de crime en tant que service (CAAS) appelé 76Service, Gozi a rapidement acquis une notoriété pour ses capacités avancées.Au fil du temps, Gozi a subi une transformation significative et s'est associé à d'autres [& # 8230;]
>In the world of cybercrime, malware plays a prominent role. One such malware, Gozi, emerged in 2006 as Gozi CRM, also known as CRM or Papras. Initially offered as a crime-as-a-service (CaaS) platform called 76Service, Gozi quickly gained notoriety for its advanced capabilities. Over time, Gozi underwent a significant transformation and became associated with other […] |
Malware | ★★ | |
|
2023-08-16 19:05:00 | Raccoon Stealer malware avec la version mise à jour après l'arrestation de l'administrateur Raccoon Stealer malware back with updated version following administrator arrest (lien direct) |
Les opérateurs du tristement célèbre malware de Raccoon ont annoncé leur retour cette semaine après une interruption de six mois des forums de pirates après l'arrestation d'un administrateur."Nous sommes heureux de revenir avec une nouvelle force et une nouvelle compréhension de nos erreurs", ont-ils déclaré dans un communiqué.Aujourd'hui, Raccoon Stealer a annoncé son retour. L'équipe Raccoon Stealer nous a informés que
The operators of the infamous Raccoon malware announced their return this week after a six-month hiatus from hacker forums following the arrest of an administrator. "We are happy to return with new strength and understanding of our mistakes," they said in a statement. Today Raccoon Stealer announced their return.The Raccoon Stealer team informed us that |
Malware | ★★★ | |
 |
2023-08-16 13:00:00 | Les pirates se cachent de plus en plus dans des services tels que Slack et Trello pour déployer des logiciels malveillants Hackers are increasingly hiding within services such as Slack and Trello to deploy malware (lien direct) |
> Une nouvelle analyse déballait un large éventail de logiciels malveillants abusant des services Internet légitimes et ce que les défenseurs devraient faire pour l'arrêter.
>A new analysis unpacks a wide array of malware abusing legitimate internet services and what defenders should do to stop it. |
Malware | ★★★★ | |
|
2023-08-16 11:31:40 | 400 000 botnet proxy massif construit avec des infections de logiciels malveillants furtifs Massive 400,000 proxy botnet built with stealthy malware infections (lien direct) |
Une nouvelle campagne impliquant la livraison d'applications de serveur proxy à Windows Systems a été découverte, où les utilisateurs agiraient involontairement comme des nœuds de sortie résidentiels contrôlés par une entreprise privée.[...]
A new campaign involving the delivery of proxy server apps to Windows systems has been uncovered, where users are reportedly involuntarily acting as residential exit nodes controlled by a private company. [...] |
Malware | ★★ | |
|
2023-08-16 11:00:00 | Proxynation: le lien sombre entre les applications proxy et les logiciels malveillants ProxyNation: The dark nexus between proxy apps and malware (lien direct) |
Executive summary
AT&T Alien Labs researchers recently discovered a massive campaign of threats delivering a proxy server application to Windows machines. A company is charging for proxy service on traffic that goes through those machines. This is a continuation of research described in our blog on Mac systems turned into proxy exit nodes by AdLoad.
In this research, Alien Labs identified a company that offers proxy services, wherein proxy requests are rerouted through compromised systems that have been transformed into residential exit nodes due to malware infiltration. Although the proxy website claims that its exit nodes come only from users who have been informed and agreed to the use of their device, Alien Labs has evidence that malware writers are installing the proxy silently in infected systems. In addition, as the proxy application is signed, it has no anti-virus detection, going under the radar of security companies.
In this follow up article we explore the dramatic rise in Windows malware delivering the same payload to create a 400,000 proxy botnet.
Key takeaways:
In just one week AT&T Alien Labs researchers observed more than a thousand new malware samples in the wild delivering the proxy application.
According to the proxy website, there are more than 400,000 proxy exit nodes, and it is not clear how many of them were installed by malware.
The application is silently installed by malware on infected machines without user knowledge and interaction.
The proxy application is signed and has zero anti-virus detection.
The proxy is written in Go programming language and is spread by malware both on Windows and macOS.
Analysis
In the constantly evolving landscape of cyber threats, malicious actors continuously find new and ingenious ways to exploit technology for their own gain. Recently Alien Labs has observed an emerging trend where malware creators are utilizing proxy applications as their tool of choice. Different malware strains are delivering the proxy - relying on users looking for interesting things, like cracked software and games.
The proxy is written in the Go programming language, giving it the flexibility to be compiled into binaries compatible with various operating systems, including macOS and Windows. Despite the fact that the binaries originated from the same source code, macOS samples are detected by numerous security checks while the Windows proxy application skirts around these measures unseen. This lack of detection is most likely due to the application being signed. (Figure 1)
Figure 1. As on Virus Total: Proxy application – zero detections.
After being executed on a compromised system, the malware proceeds to quietly download and install the proxy application. This covert process takes place without requiring any user interaction and often occurs alongside the installation of additional malware or adware elements. The proxy application and most of the malware delivering it are packed using Inno Setup, a free and popular Windows installer.
Figure 2. As observed by Alien Labs: Malware embedded script to install the proxy silently.
As shown in the figure 2 above, the malware uses specific Inno |
Malware Tool Threat Prediction | ★★ | |
|
2023-08-16 10:00:00 | Histoires du SOC - dévoiler les tactiques furtives du malware aukill Stories from the SOC - Unveiling the stealthy tactics of Aukill malware (lien direct) |
Executive summary
On April 21st, 2023, AT&T Managed Extended Detection and Response (MXDR) investigated an attempted ransomware attack on one of our clients, a home improvement business. The investigation revealed the attacker used AuKill malware on the client\'s print server to disable the server\'s installed EDR solution, SentinelOne, by brute forcing an administrator account and downgrading a driver to a vulnerable version.
AuKill, first identified by Sophos X-Ops researchers in June 2021, is a sophisticated malware designed to target and neutralize specific EDR solutions, including SentinelOne and Sophos. Distributed as a dropper, AuKill drops a vulnerable driver named PROCEXP.SYS (from Process Explorer release version 16.32) into the system\'s C:\Windows\System32\drivers folder. This malware has been observed in the wild, utilized by ransomware groups to bypass endpoint security measures and effectively spread ransomware variants such as Medusa Locker and Lockbit on vulnerable systems.
In this case, SentinelOne managed to isolate most of the malicious files before being disabled, preventing a full-scale ransomware incident. As a result, AT&T MXDR found no evidence of data exfiltration or encryption. Despite this, the client opted to rebuild the print server as a precautionary measure. This study provides an in-depth analysis of the attack and offers recommendations to mitigate the risk of future attacks.
Investigating the first phase of the attack
Initial intrusion
The targeted asset was the print server, which we found unusual. However, upon further investigation we concluded the attacker misidentified the asset as a Domain Controller (DC), as it had recently been repurposed from a DC to a print server. The attacker needed both local administrator credentials and kernel-level access to successfully run AuKill and disable SentinelOne on the asset. To gain those local administrator credentials, the attacker successfully brute-forced an administrator account. Shortly after the compromise, this account was observed making unauthorized registry changes.
Establishing a beachhead
After compromising the local administrator account, the attackers used the "\Users\Administrator\Music\aSentinel" folder as a staging area for subsequent phases of their attack. All AuKill-related binaries and scripts were executed from this path, with the innocuous "Music" folder name helping to conceal their malicious activities.
AuKill malware has been found to operate using two Windows services named "aSentinel.exe" and "aSentinelX.exe" in its SentinelOne variant. In other variants, it targets different EDRs, such as Sophos, by utilizing corresponding Windows services like "aSophos.exe" and "aSophosX.exe".
Establishing persistence
We also discovered "aSentinel.exe" running from "C:\Windows\system32", indicating that the attackers attempted to establish a foothold on the compromised server. Malware authors frequently target the system32 folder because it is a trusted location, and security software may not scrutinize files within it as closely as those in other locations. This can help malware bypass security measures and remain hidden. It is likely that the malware was initially placed in the "\Users\Administrator\Music\aSentinel" direct |
Ransomware Malware Tool Threat Studies | ★★★★ | |
|
2023-08-15 17:45:00 | MALWORED Unleashed: le secteur public a frappé dans une surtension soudaine, révèle un nouveau rapport Malware Unleashed: Public Sector Hit in Sudden Surge, Reveals New Report (lien direct) |
Le rapport de renseignement sur les menaces BlackBerry Global qui vient d'être publié révèle une augmentation de 40% des cyberattaques contre le gouvernement et les organisations de service public par rapport au trimestre précédent.Cela comprend les transports en commun, les services publics, les écoles et autres services gouvernementaux sur lesquels nous comptons quotidiennement.
Avec des ressources limitées et des programmes de cyberdéfense souvent immatures, ces organisations financées par le public ont du mal
The just-released BlackBerry Global Threat Intelligence Report reveals a 40% increase in cyberattacks against government and public service organizations versus the previous quarter. This includes public transit, utilities, schools, and other government services we rely on daily. With limited resources and often immature cyber defense programs, these publicly funded organizations are struggling |
Malware Threat | ★★ | |
|
2023-08-15 15:45:00 | Gigabud rat Android Banking malware cible les institutions à travers les pays Gigabud RAT Android Banking Malware Targets Institutions Across Countries (lien direct) |
Les titulaires de comptes de nombreuses institutions financières en Thaïlande, en Indonésie, au Vietnam, aux Philippines et au Pérou sont ciblées par un malware bancaire Android appelé Gigabud Rat.
"L'une des fonctionnalités uniques de Gigabud Rat est qu'il n'exécute pas de malveillants jusqu'à ce que l'utilisateur soit autorisé dans l'application malveillante par un fraudeur, [...], ce qui rend plus difficile à détecter"-Ib
Account holders of over numerous financial institutions in Thailand, Indonesia, Vietnam, the Philippines, and Peru are being targeted by an Android banking malware called Gigabud RAT. "One of Gigabud RAT\'s unique features is that it doesn\'t execute any malicious actions until the user is authorized into the malicious application by a fraudster, [...] which makes it harder to detect," Group-IB |
Malware | ★★ | |
|
2023-08-15 13:24:32 | Raccoon Stealer malware revient avec une nouvelle version furtive Raccoon Stealer malware returns with new stealthier version (lien direct) |
Les développeurs de Raccoon Stealer volent les logiciels malveillants de voleur d'informations ont mis fin à leur hiatus de 6 mois des forums de pirates pour promouvoir une nouvelle version 2.3.0 du malware aux cybercriminels.[...]
The developers of Raccoon Stealer information-stealing malware have ended their 6-month hiatus from hacker forums to promote a new 2.3.0 version of the malware to cyber criminals. [...] |
Malware | ★★★★ | |
|
2023-08-15 13:01:00 | Plus de 120 000 ordinateurs compromis par des voleurs d'informations liés aux utilisateurs des forums de cybercriminalité Over 120,000 Computers Compromised by Info Stealers Linked to Users of Cybercrime Forums (lien direct) |
Un «échec» de 120 000 ordinateurs infectés par des logiciels malveillants de voleur a des informations d'identification associées aux forums de cybercriminalité, dont beaucoup appartenant à des acteurs malveillants.
Les résultats proviennent de Hudson Rock, qui a analysé les données collectées à partir d'ordinateurs compromis entre 2018 et 2023.
"Les pirates du monde entier infectent les ordinateurs de manière opportuniste en faisant la promotion des résultats pour les faux logiciels ou via YouTube
A "staggering" 120,000 computers infected by stealer malware have credentials associated with cybercrime forums, many of them belonging to malicious actors. The findings come from Hudson Rock, which analyzed data collected from computers compromised between 2018 to 2023. "Hackers around the world infect computers opportunistically by promoting results for fake software or through YouTube |
Malware | ★★ | |
|
2023-08-15 12:26:06 | Informations d'identification du forum du pirate trouvé sur 120 000 PC infectés par des logiciels malveillants d'information Hacker Forum Credentials Found on 120,000 PCs Infected With Info-Stealer Malware (lien direct) |
> Les chercheurs d'Hudson Rock Security ont identifié des informations d'identification pour les forums de pirates sur environ 120 000 ordinateurs infectés par des voleurs d'informations.
>Hudson Rock security researchers have identified credentials for hacker forums on roughly 120,000 computers infected with information stealers. |
Malware | ★★ | |
|
2023-08-15 10:00:00 | Pourquoi la sécurité de l'API est-elle la prochaine grande chose en cybersécurité? Why is API security the next big thing in Cybersecurity? (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. APIs, formally known as application programming interfaces, occupy a significant position in modern software development. They revolutionized how web applications work by facilitating applications, containers, and microservices to exchange data and information smoothly. Developers can link APIs with multiple software or other internal systems that help businesses to interact with their clients and make informed decisions. Despite the countless benefits, hackers can exploit vulnerabilities within the APIs to gain unauthorized access to sensitive data resulting in data breaches, financial losses, and reputational damage. Therefore, businesses need to understand the API security threat landscape and look out for the best ways to mitigate them. The urgent need to enhance API security APIs enable data exchanges among applications and systems and help in the seamless execution of complex tasks. But as the average number of APIs rises, organizations often overlook their vulnerabilities, making them a prime target of hackers. The State of API Security Q1 Report 2023 survey finding concluded that the attacks targeting APIs had increased 400% during the past six months. Security vulnerabilities within APIs compromise critical systems, resulting in unauthorized access and data breaches like Twitter and Optus API breaches. Cybercriminals can exploit the vulnerabilities and launch various attacks like authentication attacks, distributed denial-of-service attacks (DDoS), and malware attacks. API security has emerged as a significant business issue as another report reveals that by 2023, API abuses will be the most frequent attack vector causing data breaches, and also, 50% of data theft incidents will happen due to insecure APIs. As a result, API security has. become a top priority for organizations to safeguard their data, which may cost businesses $75 billion annually. Why does API security still pose a threat in 2023? Securing APIs has always been a daunting task for most organizations, mainly because of the misconfigurations within APIs and the rise in cloud data breaches. As the security landscape evolved, API sprawl became the top reason that posed a threat to API security. API sprawl is the uncontrolled proliferation of APIs across an organization and is a common problem for enterprises with multiple applications, services, and development teams. As more APIs are created, they expanded the attack surface and emerged as an attractive target for hackers. The issue is that the APIs are not always designed by keeping security standards in mind. This leads to a lack of authorization and authentication, exposing sensitive data like personally identifiable information (PII) or other business data. API sprawl | Malware Tool Vulnerability Threat Cloud | Uber | ★★★ |
|
2023-08-15 09:00:00 | Plus de 100 000 utilisateurs de forums de piratage infectés par des logiciels malveillants Over 100,000 Users of Hacking Forums Infected With Malware (lien direct) |
Les résultats proviennent de l'analyse de 100 sites de cybercriminalité principaux
Results come from analysis of 100 leading cybercrime sites |
Malware | ★★ | |
|
2023-08-14 15:55:00 | Nouveau malware financier \\ 'Janelarat \\' cible les utilisateurs d'Amérique latine New Financial Malware \\'JanelaRAT\\' Targets Latin American Users (lien direct) |
Les utilisateurs d'Amérique latine (LATAM) sont la cible d'un logiciel malveillant financier appelé Janelarat capable de capturer des informations sensibles à partir de systèmes Microsoft Windows compromis.
"Janelarat cible principalement les données financières et de crypto-monnaie de Latam Bank and Financial Institutions", a déclaré les chercheurs de Zscaler Threatlabz Gaetano Pellegrino et Sudeep Singh, l'ajoutant "abuse de DLL à chargement secondaire DLL
Users in Latin America (LATAM) are the target of a financial malware called JanelaRAT that\'s capable of capturing sensitive information from compromised Microsoft Windows systems. "JanelaRAT mainly targets financial and cryptocurrency data from LATAM bank and financial institutions," Zscaler ThreatLabz researchers Gaetano Pellegrino and Sudeep Singh said, adding it "abuses DLL side-loading |
Malware | ★★ | |
|
2023-08-14 15:22:47 | Plus de 100 000 comptes de forums de piratage exposés par des logiciels malveillants voleurs d'informations Over 100K hacking forums accounts exposed by info-stealing malware (lien direct) |
Les chercheurs ont découvert 120 000 systèmes infectés contenant des références pour les forums de cybercriminalité.De nombreux ordinateurs appartiennent à des pirates, selon les chercheurs.[...]
Researchers discovered 120,000 infected systems that contained credentials for cybercrime forums. Many of the computers belong to hackers, the researchers say. [...] |
Malware | ★★★★ | |
 |
2023-08-14 14:56:30 | Les logiciels malveillants de Gootloader utilisent l'ingénierie sociale pour cibler les cabinets d'avocats (ou leurs clients) Gootloader Malware Uses Social Engineering to Target Law Firms (or their Clients) (lien direct) |
|
Malware | ★★ | |
|
2023-08-14 14:30:00 | Les chercheurs en sécurité publient l'analyse des logiciels malveillants bancaires de Gigabud Security Researchers Publish Gigabud Banking Malware Analysis (lien direct) |
Group-Ib a déclaré que Gigabud n'exécute pas immédiatement des actions malveillantes mais attend l'autorisation de l'utilisateur
Group-IB said Gigabud doesn\'t execute malicious actions immediately but waits for user authorization |
Malware | ★★ | |
|
2023-08-11 20:10:00 | Générateur d'alimentation en Afrique du Sud ciblée avec des logiciels malveillants Droxidat Southern African power generator targeted with DroxiDat malware (lien direct) |
Les chercheurs ont découvert une cyberattaque suspectée ciblant un générateur d'énergie en Afrique australe avec une nouvelle variante du malware SystemBC.L'attaque a été menée par un groupe de pirates inconnu en mars de cette année, selon un rapport de la société de cybersécurité SecureList .Les pirates ont utilisé un outil de frappe de cobalt et du droxidat - un
Researchers have uncovered a suspected cyberattack targeting a power generator in southern Africa with a new variant of the SystemBC malware. The attack was carried out by an unknown hacker group in March of this year, according to a report by cybersecurity firm Securelist. The hackers used a Cobalt Strike tool and DroxiDat - a |
Malware Tool | ★★★ | |
|
2023-08-11 17:19:00 | Xworm, Remcos Rat EVADE EDRS pour infecter les infrastructures critiques XWorm, Remcos RAT Evade EDRs to Infect Critical Infrastructure (lien direct) |
Déguisées en documents PDF inoffensifs, les fichiers LNK déclenchent un script PowerShell, initiant un injecteur basé sur la rouille appelée Freeze [.] RS et une multitude d'infections de logiciels malveillants.
Disguised as harmless PDF documents, LNK files trigger a PowerShell script, initiating a Rust-based injector called Freeze[.]rs and a host of malware infections. |
Malware Industrial | ★★ | |
|
2023-08-11 15:42:00 | Les chercheurs mettent en lumière les déposées avancées et les tactiques d'exfiltration des données d'APT31 \\ Researchers Shed Light on APT31\\'s Advanced Backdoors and Data Exfiltration Tactics (lien direct) |
L'acteur de menace chinois connue sous le nom d'APT31 (alias Bronze Vinewood, Judgment Panda ou Violet Typhoon) a été lié à un ensemble de déambulations avancées qui sont capables d'exfiltration d'informations sensibles récoltées à Dropbox.
Le malware fait partie d'une collection plus large de plus de 15 implants qui ont été utilisés par l'adversaire dans les attaques ciblant les organisations industrielles en Europe de l'Est
The Chinese threat actor known as APT31 (aka Bronze Vinewood, Judgement Panda, or Violet Typhoon) has been linked to a set of advanced backdoors that are capable of exfiltrating harvested sensitive information to Dropbox. The malware is part of a broader collection of more than 15 implants that have been put to use by the adversary in attacks targeting industrial organizations in Eastern Europe |
Malware Threat Industrial | APT 31 APT 31 | ★★ |
|
2023-08-11 15:10:00 | Nouvelle variante de logiciels malveillants SystemBC cible la compagnie d'électricité sud-africaine New SystemBC Malware Variant Targets South African Power Company (lien direct) |
Un acteur de menace inconnu a été lié à une cyberattaque contre une entreprise de production d'électricité en Afrique du Sud avec une nouvelle variante du malware SystemBC appelé Droxidat comme précurseur d'une attaque suspectée de ransomware.
"La porte dérobée compatible par procuration a été déployée aux côtés de balises de frappe Cobalt dans une infrastructure critique d'une nation sud-africaine", Kurt Baumgartner, chercheur principal en sécurité chez
An unknown threat actor has been linked to a cyber attack on a power generation company in South Africa with a new variant of the SystemBC malware called DroxiDat as a precursor to a suspected ransomware attack. "The proxy-capable backdoor was deployed alongside Cobalt Strike Beacons in a South African nation\'s critical infrastructure," Kurt Baumgartner, principal security researcher at |
Ransomware Malware Threat | ★★★★ | |
 |
2023-08-11 14:10:54 | Qu'est-ce que les logiciels malveillants Emotet et comment vous protéger What is EMOTET Malware and How to Protect Yourself (lien direct) |
> Selon Arne Schoenbohm, qui dirige l'Office fédéral allemand de la sécurité de l'information (BSI), Emotet ...
>According to Arne Schoenbohm, who leads the German Federal Office of Information Security (BSI), EMOTET... |
Malware | ★★ | |
|
2023-08-11 11:59:15 | La police saisit le service bullet de Lolek pour l'hébergement de logiciels malveillants Police seize LOLEK bulletproof service for hosting malware (lien direct) |
La police a abattu le fournisseur d'hébergement de Lolek Bulletproof, arrêtant cinq personnes et saisissant des serveurs pour faciliter les activités malveillantes, y compris les attaques DDOS et la distribution de logiciels malveillants.[...]
Police have taken down the Lolek bulletproof hosting provider, arresting five individuals and seizing servers for facilitating malicious activities, including DDoS attacks and malware distribution. [...] |
Malware | ★★ | |
|
2023-08-11 09:58:14 | Le nouveau malware «Stealer Static» cible les appareils Windows pour voler les données du navigateur, les portefeuilles cryptographiques, et plus encore New Malware “Statc Stealer” Targets Windows Devices to Steal Browser Data, Cryptowallets, and More (lien direct) |
Les chercheurs ont identifié un nouveau malware de vol d'information nommé & # 8220; Statc Stealer. & # 8221;Ce malware est conçu pour ...
Researchers have identified a new information-stealing malware named “Statc Stealer.” This malware is designed to... |
Malware | ★★ | |
|
2023-08-10 20:17:11 | July 2023\'s Most Wanted Malware: Remote Access Trojan (RAT) Remcos Climbs to Third Place while Mobile Malware Anubis Returns to Top Spot (lien direct) | Juillet 2023 \'s MALWWare le plus recherché: Remcos d'accès à distance (rat) grimpe à la troisième place tandis que le malware mobile Anubis revient à la première place
Les recherches sur les points de contrôle ont rapporté que les remcos de rat ont augmenté quatre places en raison des installateurs de trojanisés, des logiciels malveillants mobiles anubis ont évincé Spinok et l'éducation / la recherche encore le plus durement hit
-
rapports spéciaux
July 2023\'s Most Wanted Malware: Remote Access Trojan (RAT) Remcos Climbs to Third Place while Mobile Malware Anubis Returns to Top Spot Check Point Research reported that RAT Remcos rose four places due to trojanized installers, Anubis Mobile Malware Ousted SpinOk and Education/Research Still Hardest Hit - Special Reports |
Malware | ★★ | |
|
2023-08-10 19:50:00 | Nouvelle alerte d'attaque: gel [.] Injecteur RS armé pour les attaques de logiciels malveillants Xworm New Attack Alert: Freeze[.]rs Injector Weaponized for XWorm Malware Attacks (lien direct) |
Les acteurs malveillants utilisent un injecteur à base de rouille légitime appelé Freeze [.] RS pour déployer un logiciel malveillant de marchandise appelé Xworm dans les environnements victimes.
La nouvelle chaîne d'attaque, détectée par Fortinet Fortiguard Labs le 13 juillet 2023, est lancée via un e-mail de phishing contenant un fichier PDF piégé.Il a également été utilisé pour introduire Remcos Rat au moyen d'un crypter appelé Syk Cryter, qui était
Malicious actors are using a legitimate Rust-based injector called Freeze[.]rs to deploy a commodity malware called XWorm in victim environments. The novel attack chain, detected by Fortinet FortiGuard Labs on July 13, 2023, is initiated via a phishing email containing a booby-trapped PDF file. It has also been used to introduce Remcos RAT by means of a crypter called SYK Crypter, which was |
Malware | ★★ | |
|
2023-08-10 19:38:00 | Le nouveau voleur de STATC malware émerge: vos données sensibles à risque New Statc Stealer Malware Emerges: Your Sensitive Data at Risk (lien direct) |
Une nouvelle souche malveillante d'informations appelée Statc Stealer a été trouvée en infectation des appareils exécutant Microsoft Windows à des informations personnelles et de paiement sensibles à siphon.
"STATC Stealer présente un large éventail de capacités de vol, ce qui en fait une menace importante", a déclaré les chercheurs de Zscaler Threatlabz Shivam Sharma et Amandeep Kumar dans un rapport technique publié cette semaine.
"Ça peut voler
A new information malware strain called Statc Stealer has been found infecting devices running Microsoft Windows to siphon sensitive personal and payment information. "Statc Stealer exhibits a broad range of stealing capabilities, making it a significant threat," Zscaler ThreatLabz researchers Shivam Sharma and Amandeep Kumar said in a technical report published this week. "It can steal |
Malware | ★★ |
To see everything:
