What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-01-10 15:00:00 | Les maîtrise des logiciels malveillants montrent des progrès, mais luttent contre la cybercriminalité non plus Malware Takedowns Show Progress, But Fight Against Cybercrime Not Over (lien direct) |
Les opérations d'application de la loi sur les infrastructures cybercriminales se sont révélées efficaces pour entraver l'activité des logiciels malveillants, mais sont loin d'être une solution miracle, selon l'avenir enregistré
Law enforcement operations on cybercriminal infrastructure have proven efficient at hindering malware activity but are far from being a silver bullet, according to Recorded Future |
Malware | ★★ | |
 |
2024-01-10 12:05:43 | L'ingénieur néerlandais a utilisé la pompe à eau pour obtenir un milliard de dollars malveillants Stuxnet dans une installation nucléaire iranienne: rapport Dutch Engineer Used Water Pump to Get Billion-Dollar Stuxnet Malware Into Iranian Nuclear Facility: Report (lien direct) |
Un ingénieur recruté par les services de renseignement a utilisé une pompe à eau pour livrer Stuxnet, qui aurait coûté 1 à 2 milliards de dollars pour se développer.
An engineer recruited by intelligence services used a water pump to deliver Stuxnet, which reportedly cost $1-2 billion to develop. |
Malware | ★★★ | |
 |
2024-01-10 10:30:00 | Attaque des copies: comment les fausses applications de messagerie et les mods d'applications pourraient vous mordre Attack of the copycats: How fake messaging apps and app mods could bite you (lien direct) |
WhatsApp, Telegram et Signal Clones and Mods restent un véhicule populaire pour la distribution de logiciels malveillants.Ne soyez pas pris pour un tour.
WhatsApp, Telegram and Signal clones and mods remain a popular vehicle for malware distribution. Don\'t get taken for a ride. |
Malware | ★★★ | |
 |
2024-01-09 21:31:00 | Alerte: les pirates de curupera d'eau distribuant activement les logiciels malveillants du chargeur de pikabot Alert: Water Curupira Hackers Actively Distributing PikaBot Loader Malware (lien direct) |
Un acteur de menace appelé Water Curupera a été observé en distribuant activement le & nbsp; pikabot & nbsp; chargeur malware dans le cadre des campagnes de spam en 2023.
«Les opérateurs de Pikabot \\ ont mené des campagnes de phishing, ciblant les victimes via ses deux composants - un chargeur et un module de base - ce qui a permis un accès à distance non autorisé et a permis l'exécution de commandes arbitraires via une connexion établie avec
A threat actor called Water Curupira has been observed actively distributing the PikaBot loader malware as part of spam campaigns in 2023. “PikaBot\'s operators ran phishing campaigns, targeting victims via its two components - a loader and a core module - which enabled unauthorized remote access and allowed the execution of arbitrary commands through an established connection with |
Spam Malware Threat | ★★ | |
 |
2024-01-09 15:35:00 | Méfiez-vous des canaux YouTube armées répartissant le voleur de Lumma Beware Weaponized YouTube Channels Spreading Lumma Stealer (lien direct) |
Les vidéos faisant la promotion de la façon de faire fissurer les logiciels populaires de contourner les filtres Web en utilisant GitHub et MediaFire pour propager les logiciels malveillants.
Videos promoting how to crack popular software circumvent Web filters by using GitHub and MediaFire to propagate the malware. |
Malware | ★★ | |
|
2024-01-09 13:47:00 | Méfiez-vous!Les vidéos YouTube faisant la promotion du logiciel Cracked Distribuent Lummma Stealer Beware! YouTube Videos Promoting Cracked Software Distribute Lumma Stealer (lien direct) |
Les acteurs de la menace recourent à des vidéos YouTube avec du contenu lié à des logiciels fissurés afin d'atteindre les utilisateurs dans le téléchargement d'un malware d'information sur le voleur appelé Lumma.
«Ces vidéos YouTube présentent généralement du contenu lié aux applications fissurées, présentant les utilisateurs avec des guides d'installation similaires et incorporant des URL malveillantes souvent raccourcis à l'aide de services comme Tinyurl et Cuttly,
Threat actors are resorting to YouTube videos featuring content related to cracked software in order to entice users into downloading an information stealer malware called Lumma. “These YouTube videos typically feature content related to cracked applications, presenting users with similar installation guides and incorporating malicious URLs often shortened using services like TinyURL and Cuttly, |
Malware Threat | ★★★ | |
 |
2024-01-09 13:00:53 | Décembre 2023 \\'s Mostware le plus recherché: la résurgence de QBOT et FakeUpdates December 2023\\'s Most Wanted Malware: The Resurgence of Qbot and FakeUpdates (lien direct) |
> Les chercheurs ont découvert un renouveau du logiciel malveillant QBOT, qui a été détecté dans les tentatives de phishing destinées à l'industrie hôtelière.Pendant ce temps, le téléchargeur FakeUpdates a sauté à la première place de notre dernier indice mondial de menaces pour décembre 2023, les chercheurs ont vu la résurrection de QBOT, quatre mois après les États-Unis et les forces de l'ordre internationales démantelées son infrastructure dans l'opération Duck Hunt en août 2023. En attendant, le téléchargeur Javascript FakeUpdates a sauté dansLe premier lieu et l'éducation sont restés l'industrie la plus touchée dans le monde.Le mois dernier, le malware QBOT a été utilisé par les cybercriminels dans le cadre d'une attaque de phishing à échelle limitée des organisations de ciblage dans le secteur de l'hôtellerie.Dans la campagne, les chercheurs [& # 8230;]
>Researchers discovered a revival of the Qbot malware, which was detected in phishing attempts directed at the hospitality industry. Meanwhile, downloader FakeUpdates jumped into first place Our latest Global Threat Index for December 2023 saw researchers identify the resurrection of Qbot, four months after US and International law enforcement dismantled its infrastructure in Operation Duck Hunt in August 2023. Meanwhile, JavaScript downloader FakeUpdates jumped into first place and Education remained the most impacted industry worldwide. Last month, Qbot malware was employed by cybercriminals as part of a limited-scale phishing attack targeting organizations in the hospitality sector. In the campaign, researchers […] |
Malware Threat | ★★ | |
 |
2024-01-09 12:30:09 | Antivirus primé, en vente pour 25 $, offre une protection d'élite contre les logiciels malveillants Award Winning Antivirus, On Sale for $25, Offers Elite Protection from Malware (lien direct) |
ESET NOD32 Antivirus 2024 Edition offre une protection multicouche contre les logiciels malveillants et les pirates sans entraver les performances de votre PC Mac ou Windows.
ESET NOD32 Antivirus 2024 Edition provides multi-layered protection from malware and hackers without impeding the performance of your Mac or Windows PC. |
Malware | ★★ | |
 |
2024-01-09 12:03:11 | Malware Android voleur d'épingles PIN-Stealing Android Malware (lien direct) |
Il s'agit d'un ancien élément de malware & # 8212; le cheval de Troie bancaire Android caméléon & # 8212; qui désactive désormais l'authentification biométrique afin de voler la broche :
La deuxième nouvelle fonctionnalité notable est la possibilité d'interrompre les opérations biométriques sur l'appareil, comme les empreintes digitales et le déverrouillage du visage, en utilisant le service d'accessibilité pour forcer une reproche à la broche ou l'authentification du mot de passe.
Le malware capture toutes les épingles et les mots de passe entre que la victime entre pour déverrouiller leur appareil et peut les utiliser plus tard pour déverrouiller l'appareil à volonté pour effectuer des activités malveillantes cachées.
...
This is an old piece of malware—the Chameleon Android banking Trojan—that now disables biometric authentication in order to steal the PIN: The second notable new feature is the ability to interrupt biometric operations on the device, like fingerprint and face unlock, by using the Accessibility service to force a fallback to PIN or password authentication. The malware captures any PINs and passwords the victim enters to unlock their device and can later use them to unlock the device at will to perform malicious activities hidden from view. ... |
Malware Mobile | ★★ | |
 |
2024-01-09 11:57:12 | L'augmentation préoccupante des attaques centrées sur l'identité: tendances et faits The Concerning Rise in Identity-Centric Attacks: Trends and Facts (lien direct) |
Identity threats are by no means a new type of crime. But in today\'s increasingly digitized world, there are more opportunities for bad actors to steal identities and engage in identity-centric attacks than ever before. Unfortunately, user identities are tough for businesses to protect. The fact that these types of attacks are skyrocketing is evidence of that-in the past year alone the Identity Defined Security Alliance reports that a whopping 84% of companies experienced an identity-related security breach. In this post, we\'ll take a look at identity attack statistics and trends and provide some recent case studies to illustrate how some attacks work. We\'ll also highlight one of the most important identity threat facts-that the human element plays a crucial role in the success of these attacks. Understanding identity-centric attacks There are many types of identity attacks. When most people think of these types of crimes, they often imagine traditional identity theft scenarios: Financial identity theft, where a criminal gains access to a victim\'s financial data, like their credit card details, bank account numbers or Social Security number, to make unauthorized purchases, withdraw funds or open new accounts. Tax identity theft, where a bad actor uses a victim\'s personal information to file false tax returns and claim refunds, diverting the money to their own accounts. Employment identity theft, where a fraudster uses a victim\'s identity to get a job, potentially causing issues for that person when discrepancies arise in their employment and tax records. But identity-based attacks also target enterprises and their online users. The cybercriminals behind these attacks might aim to steal sensitive data, siphon off funds, damage or disrupt systems, deploy ransomware or worse. Those are the types of identity attacks we\'re covering here. Identity threat trends and tactics In short, identity-centric attacks are a practical calculation by bad actors: Why would they invest their time and resources to build exploits to help them get in through a virtual back door when they can just walk through the front door? But before they reap the rewards, they still have some legwork to do. Here are a few techniques that cybercriminals use to progress identity-based attacks against businesses and their users: MFA bypass attacks. Many businesses today use multifactor authentication (MFA) to protect the account of their users. It\'s more secure than using passwords alone. But of course, bad actors have found new ways to bypass commonly used MFA methods. MFA fatigue attacks are one example. People-activated malware. People often give life to malware when they fall for a phishing scam or other social engineering tactics. Malware can appear in the form of a .zip file, QR code, .html link, MS Office file and more-there are at least 60 known techniques to plant people-activated malware on corporate networks. Active Directory (AD) attacks. Most enterprises today use AD as a primary method for directory services like user authentication and authorization. Cybercriminals are keen to target AD, which touches almost every place, person and device on a network. This approach works very well, too-more than half of identity-related breaches can be traced back to AD. Cached credentials harvesting. Cached credentials are commonly stored on endpoints, in memory, in the registry, in a browser or on disk. Attackers use various tools and techniques to collect these credentials and gain access to more privileged identities. Once they have harvested these credentials, they can use them to move laterally and log into different applications. Adversaries are likely to find a good “crop” when they are harvesting cached credentials. Recent research from Proofpoint found that more than one in 10 endpoints have exposed privileged account passwords, making it one of the most common identity risks. Keep in mind that cybercriminals are always innovating, and they are quick to build or adopt tools that | Ransomware Malware Tool Threat Studies | Uber | ★★ |
 |
2024-01-09 07:51:10 | GPTS personnalisés: un cas d'analyse de logiciels malveillants et d'analyse du CIO Custom GPTs: A Case of Malware Analysis and IoC Analyzing (lien direct) |
Le 6 novembre 2023, CustomGpts, une nouvelle fonctionnalité qu'Openai a déclaré sur son blog, est devenu ...
On November 6, 2023, CustomGPTs, a new feature that OpenAI stated on its blog, became... |
Malware | ★★★ | |
|
2024-01-09 02:00:00 | États-Unis, Israël a utilisé l'espion néerlandais pour lancer des logiciels malveillants Stuxnet contre l'Iran US, Israel Used Dutch Spy to Launch Stuxnet Malware Against Iran (lien direct) |
Le rapport indique que nous et Israël ont dépensé 1 milliard de dollars pour développer le tristement célèbre virus Stuxnet, conçu pour saboter le programme nucléaire de l'Iran \\ en 2008.
Report says US and Israel spent $1 billion to develop the infamous Stuxnet virus, built to sabotage Iran\'s nuclear program in 2008. |
Malware | ★★★★★ | |
 |
2024-01-09 00:00:00 | Campagne de spam Pikabot de Water Water Black Basta. Black Basta-Affiliated Water Curupira\\'s Pikabot Spam Campaign (lien direct) |
Pikabot est un chargeur avec des similitudes avec Qakbot qui a été utilisé dans les campagnes de spam pendant la majeure partie de 2023. Notre entrée de blog fournit une analyse technique de ce malware.
Pikabot is a loader with similarities to Qakbot that was used in spam campaigns during most of 2023. Our blog entry provides a technical analysis of this malware. |
Spam Malware Technical | ★★ | |
 |
2024-01-08 21:44:27 | Un joueur devenu développeur de logiciels malveillants: plongée en silverrat A Gamer Turned Malware Developer: Diving Into SilverRAT (lien direct) |
#### Description
Le Silver Rat V1.0 est un cheval de Troie (RAT) à accès à distance basé sur Windows qui a été observé pour la première fois en novembre 2023. Les développeurs de Silver Rat fonctionnent sur plusieurs forums de pirate et plateformes de médias sociaux, présentant une présence active et sophistiquée.
Le rat a des capacités de contourner les anti-virus et de lancer secrètement des applications cachées, des navigateurs, des keyloggers et d'autres activités malveillantes.Lors de la génération d'une charge utile à l'aide du constructeur de Silver Rat \\, les acteurs de la menace peuvent sélectionner diverses options avec une taille de charge utile jusqu'à un maximum de 50 Ko.Une fois connecté, la victime apparaît sur le panneau Silver Rat contrôlé par l'attaquant, qui affiche les journaux de la victime en fonction des fonctionnalités choisies.L'acteur de menace peut masquer les processus sous faux titres, et la charge utile finale peut être générée dans un fichier exécutable Windows, livré par diverses méthodes d'ingénierie sociale.
#### URL de référence (s)
1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-tyrian-roots/
#### Date de publication
8 janvier 2024
#### Auteurs)
Cyfirma
#### Description The Silver RAT v1.0 is a Windows-based Remote Access Trojan (RAT) that was first observed in November 2023. The developers of Silver RAT operate on multiple hacker forums and social media platforms, showcasing an active and sophisticated presence. The RAT has capabilities to bypass anti-viruses and covertly launch hidden applications, browsers, keyloggers, and other malicious activities. While generating a payload using Silver RAT\'s builder, threat actors can select various options with a payload size up to a maximum of 50kb. Once connected, the victim appears on the attacker controlled Silver RAT panel, which displays the logs from the victim based on the functionalities chosen. The threat actor can hide processes under false headings, and the final payload can be generated in a Windows executable file, delivered through various social engineering methods. #### Reference URL(s) 1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/ #### Publication Date January 8, 2024 #### Author(s) Cyfirma |
Malware Threat | ★★★ | |
 |
2024-01-08 19:11:00 | MALWORIE D'ELTYERS TROUVÉ DANS L'ANALYSE DES ATTAQUES LINSÉES IRANS contre les institutions albanais Wiper malware found in analysis of Iran-linked attacks on Albanian institutions (lien direct) |
Au cours de la vague d'attaques contre des organisations albanaises plus tôt en décembre, des pirates liés à l'Iran ont utilisé des logiciels malveillants d'essuie-glace que les chercheurs appellent le non-justice.Le attaques , attribuée à l'acteur de menace iranien Homeland Justice , a ciblé le Parlement albanais, deux sociétés de télécommunications locales (One Albanie et Eagle Mobile) et le drapeau de l'Albanie \\ SCarrier aérien (Air Albanie).Les pirates ont prétendu
During the wave of attacks on Albanian organizations earlier in December, Iran-linked hackers used wiper malware that researchers are calling No-Justice. The attacks, attributed to the Iranian threat actor Homeland Justice, targeted the Albanian parliament, two local telecom companies (ONE Albania and Eagle Mobile), and Albania\'s flag air carrier (Air Albania). The hackers claimed to |
Malware Threat | ★★★ | |
|
2024-01-08 16:45:00 | Nouvelles recherches: aborder les logiciels malveillants .NET avec une bibliothèque d'harmonie New Research: Tackling .NET Malware With Harmony Library (lien direct) |
La nouvelle recherche de Check Point explore la signification de la manipulation du code dans l'analyse des logiciels malveillants
New research from Check Point explores the significance of code manipulation in malware analysis |
Malware | ★★ | |
 |
2024-01-08 16:06:03 | NetGear, Hyundai Dernières comptes x piratés pour pousser les draineur cryptographique Netgear, Hyundai latest X accounts hacked to push crypto drainers (lien direct) |
Les comptes officiels de Netgear et Hyundai MEA Twitter / X (ainsi que plus de 160 000 abonnés) sont les derniers détournement des escroqueries conçues pour infecter les victimes potentielles avec des logiciels malveillants de draineur de portefeuille de crypto-monnaie.[...]
The official Netgear and Hyundai MEA Twitter/X accounts (together with over 160,000 followers) are the latest hijacked to push scams designed to infect potential victims with cryptocurrency wallet drainer malware. [...] |
Malware | ★★★ | |
|
2024-01-08 13:17:18 | .Net Hooking & # 8211;Harmoniser le territoire géré .NET Hooking – Harmonizing Managed Territory (lien direct) |
> Recherche de: Jiri Vinopal Key Points Introduction pour un chercheur, un analyste ou un ingénieur inverse, la capacité de modifier la fonctionnalité de certaines parties du code est une étape cruciale, souvent nécessaire pour atteindre un résultat significatif pendant le processus d'analyse.Ce type d'instrumentation de code est généralement atteint par débogage, DBI (instrumentation binaire dynamique), [& # 8230;]
>Research by: Jiri Vinopal Key Points Introduction For a malware researcher, analyst, or reverse engineer, the ability to alter the functionality of certain parts of code is a crucial step, often necessary to reach a meaningful result during the analysis process. This kind of code instrumentation is usually reached by debugging, DBI (Dynamic Binary Instrumentation), […] |
Malware | ★★ | |
 |
2024-01-08 11:00:00 | Le siège de botnet: comment votre grille-pain pourrait renverser une société The Botnet siege: How your toaster could topple a corporation (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In addition to the overt signs of cyber threats we\'ve become conditioned to recognize, like ransomware emails and strange login requests, malicious actors are now utilizing another way to achieve their nefarious purposes — by using your everyday devices. These hidden dangers are known as botnets. Unbeknownst to most, our everyday devices, from toasters to smart fridges, can unwittingly be enlisted as footsoldiers in a digital army with the potential to bring down even corporate giants. This insidious force operates in silence, escaping the notice of even the most vigilant users. A recent report by Nokia shows that criminals are now using these devices more to orchestrate their attacks. In fact, cyber attacks targeting IoT devices are expected to double by 2025, further muddying the already murky waters. Let us go to the battlements of this siege, and we’ll tackle the topic in more depth. What is a botnet? Derived from the words “robot” and "network.", a botnet refers to a group of devices that have been infected with malicious software. Once infected, these devices are controlled remotely by a central server and are often used to carry out malicious activities such as cyber attacks, espionage, financial fraud, spam email campaigns, stealing sensitive information, or simply the further propagation of malware. How does a botnet attack work? A botnet attack begins with the infection of individual devices. Cybercriminals use various tactics to compromise these devices, such as sending malicious emails, exploiting software vulnerabilities, or tricking users into downloading malware. Everyday tech is notoriously prone to intrusion. The initial stages of building a botnet are often achieved with deceptively simple yet elegant tactics. Recently, a major US energy company fell prey to one such attack, owing to hundreds of phishing emails. By using QR code generators, the attacks combined two seemingly benign elements into a campaign that hit manufacturing, insurance, technology, and financial services companies, apart from the aforementioned energy companies. This new attack vector is now being referred to as Quishing — and unfortunately, it’s only going to become more prevalent. Once a device has been compromised, it becomes part of the botnet. The cybercriminal gains control over these infected devices, which are then ready to follow the attacker\'s commands. The attacker is then able to operate the botnet from a central command-and-control server to launch various types of attacks. Common ones include: Distributed denial-of-service (DDoS). The botnet floods a target website or server with overwhelming traffic, causing it to become inaccessible to legitimate users. Spam emails. Bots can be used to send out massive volumes of spam emails, often containing phishing scams or malware. Data theft. Botnets can steal sensitive information, such as login credentials or personal data, from the infected devices. Propagation. S | Ransomware Spam Malware Vulnerability Threat | ★★ | |
|
2024-01-07 11:36:46 | Les attaques de logiciels malveillants asyncrat furtifs ciblent l'infrastructure américaine pendant 11 mois Stealthy AsyncRAT malware attacks targets US infrastructure for 11 months (lien direct) |
Une campagne livrant les logiciels malveillants asyncrat à sélectionner des cibles a été actif depuis au moins les 11 mois, en utilisant des centaines d'échantillons de chargeur uniques et plus de 100 domaines.[...]
A campaign delivering the AsyncRAT malware to select targets has been active for at least the past 11 months, using hundreds of unique loader samples and more than 100 domains. [...] |
Malware | ★★ | |
|
2024-01-06 12:18:00 | Groupe de pirates pro-iranien ciblant l'Albanie avec un malware d'essuie-glace sans justice Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware (lien direct) |
Le & nbsp; vague récente de cyberattaques & nbsp; ciblant les organisations albanaises impliquait l'utilisation d'un essuie-glace appelé & nbsp; sans justice.
La & nbsp; Ferminations & nbsp; provient de la société de cybersécurité Clearsky, qui a déclaré que les logiciels malveillants basés sur Windows "plantent le système d'exploitation d'une manière qu'il ne peut pas être redémarré".
Les intrusions ont été attribuées à un "groupe d'opération psychologique" iranien appelé Homeland
The recent wave of cyber attacks targeting Albanian organizations involved the use of a wiper called No-Justice. The findings come from cybersecurity company ClearSky, which said the Windows-based malware "crashes the operating system in a way that it cannot be rebooted." The intrusions have been attributed to an Iranian "psychological operation group" called Homeland |
Malware | ★★ | |
|
2024-01-06 11:40:56 | Google: L'API abusive des logiciels malveillants est un vol de jeton standard, pas un problème d'API Google: Malware abusing API is standard token theft, not an API issue (lien direct) |
Google minimise les rapports de malware abusant une API Google Chrome sans papiers pour générer de nouveaux cookies d'authentification lorsque des cookies auparavant volés ont expiré.[...]
Google is downplaying reports of malware abusing an undocumented Google Chrome API to generate new authentication cookies when previously stolen ones have expired. [...] |
Malware | ★★★ | |
|
2024-01-05 21:14:02 | Bandook - A Persistent Threat That Keeps Evolving (lien direct) | #### Description
Bandook est un cheval de Troie à distance qui a été développé en permanence depuis 2007 et a été utilisé dans diverses campagnes par différents acteurs de menace au fil des ans.
Fortiguard Labs a identifié une nouvelle variante bandook distribuée via un fichier PDF en octobre dernier.Ce fichier PDF contient une URL raccourcie qui télécharge un fichier .7Z protégé par mot de passe.Une fois que la victime a extrait le malware avec le mot de passe dans le fichier PDF, le malware injecte sa charge utile dans MSInfo32.exe.Le composant d'injecteur décrypte la charge utile dans la table des ressources et l'injecte dans MSInfo32.exe.
Avant l'injection, une clé de registre est créée pour contrôler le comportement de la charge utile.Le nom de clé est le PID de MSInfo32.exe, et la valeur contient le code de contrôle de la charge utile.Une fois exécuté avec n'importe quel argument, Bandook crée une clé de registre contenant un autre code de contrôle qui permet à sa charge utile d'établir de la persistance, puis il injecte la charge utile dans un nouveau processus de MSInfo32.exe.La charge utile initialise les chaînes pour les noms clés des registres, drapeaux, API, etc. Après cela, il utilise le PID du MSInfo32.exe injecté pour trouver la clé de registre, puis décode et analyse la valeur clé pour effectuer la tâche spécifiée par lacode de contrôle.La variante que nous avons trouvée en octobre 2023 a deux codes de contrôle supplémentaires, mais son injecteur ne crée pas de registres pour eux.On demande à la charge utile de charger FCD.DLL, qui est téléchargé par un autre processus injecté et appelle la fonction d'initiation de FCD.DLL \\.L'autre mécanisme établit la persistance et exécute la copie de Bandook \\.Ces codes de contrôle inutilisés ont été supprimés de variantes encore plus récentes.
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/bandook-persistent-thereat-that-keeps-volving
#### Date de publication
5 janvier 2024
#### Auteurs)
Pei Han Liao
#### Description Bandook is a remote access trojan that has been continuously developed since 2007 and has been used in various campaigns by different threat actors over the years. FortiGuard Labs identified a new Bandook variant being distributed via a PDF file this past October. This PDF file contains a shortened URL that downloads a password-protected .7z file. After the victim extracts the malware with the password in the PDF file, the malware injects its payload into msinfo32.exe. The injector component decrypts the payload in the resource table and injects it into msinfo32.exe. Before the injection, a registry key is created to control the behavior of the payload. The key name is the PID of msinfo32.exe, and the value contains the control code for the payload. Once executed with any argument, Bandook creates a registry key containing another control code that enables its payload to establish persistence, and it then injects the payload into a new process of msinfo32.exe. The payload initializes strings for the key names of registries, flags, APIs, etc. After this, it uses the PID of the injected msinfo32.exe to find the registry key and then decodes and parses the key value to perform the task specified by the control code. The variant we found in October 2023 has two additional control codes, but its injector doesn\'t create registries for them. One asks the payload to load fcd.dll, which is downloaded by another injected process and calls fcd.dll\'s Init function. The other mechanism establishes persistence and executes Bandook\'s copy. These unused control codes have been removed from even newer variants. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving #### Publication Date January 5, 2024 #### Author(s) Pei Han Liao |
Malware Threat | ★★★ | |
|
2024-01-05 21:05:00 | Spectralblur: nouvelle menace de porte dérobée macOS des pirates nord-coréens SpectralBlur: New macOS Backdoor Threat from North Korean Hackers (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle porte dérobée Apple MacOS appelée & nbsp; Spectralblur & nbsp; qui chevauche une famille de logiciels malveillants connue qui a été attribuée aux acteurs de la menace nord-coréenne.
«SpectralBlur est une porte dérobée modérément capable qui peut télécharger / télécharger des fichiers, exécuter un shell, mettre à jour sa configuration, supprimer des fichiers, hiberner ou dormir, en fonction des commandes émises à partir du [
Cybersecurity researchers have discovered a new Apple macOS backdoor called SpectralBlur that overlaps with a known malware family that has been attributed to North Korean threat actors. “SpectralBlur is a moderately capable backdoor that can upload/download files, run a shell, update its configuration, delete files, hibernate, or sleep, based on commands issued from the [ |
Malware Threat | ★★★ | |
|
2024-01-05 20:00:00 | La Corée du Nord fait ses débuts \\ 'spectralblur \\' malware au milieu de l'assaut macOS North Korea Debuts \\'SpectralBlur\\' Malware Amid macOS Onslaught (lien direct) |
La porte dérobée post-exploitation est la dernière d'une série d'outils personnalisés visant à espionner les utilisateurs d'Apple.
The post-exploitation backdoor is the latest in a string of custom tools aimed at spying on Apple users. |
Malware Tool | ★★★ | |
|
2024-01-05 16:00:49 | Merck règle la réclamation d'assurance NotPetya, laissant la définition de la cyber-guerre non résolue Merck Settles NotPetya Insurance Claim, Leaving Cyberwar Definition Unresolved (lien direct) |
> Dans un cas de repère qui brouille les frontières entre la guerre cyber et cinétique, Merck a atteint un règlement avec les assureurs de plus d'une réclamation de 1,4 milliard de dollars provenant de l'attaque de logiciels malveillante NotPetya.
>In a landmark case that blurs the lines between cyber and kinetic warfare, Merck reached a settlement with insurers over a $1.4 billion claim stemming from the NotPetya malware attack. |
Malware | NotPetya | ★★ |
|
2024-01-05 15:31:00 | Orange Espagne fait face à BGP Traffic Rijack après un compte mûr piraté par des logiciels malveillants Orange Spain Faces BGP Traffic Hijack After RIPE Account Hacked by Malware (lien direct) |
L'opérateur de réseau mobile Orange Espagne a subi une panne d'Internet pendant plusieurs heures le 3 janvier après qu'un acteur de menace a utilisé des informations d'identification administratrices capturées au moyen d'un malware de voleur pour détourner le trafic du protocole Border Gateway (BGP).
"Le compte orange dans le centre de coordination du réseau IP (mûr) a subi un accès inapproprié qui a affecté la navigation de certains de nos clients", le
Mobile network operator Orange Spain suffered an internet outage for several hours on January 3 after a threat actor used administrator credentials captured by means of stealer malware to hijack the border gateway protocol (BGP) traffic. "The Orange account in the IP network coordination center (RIPE) has suffered improper access that has affected the browsing of some of our customers," the |
Malware Threat Mobile | ★★★ | |
|
2024-01-05 13:14:01 | Nouveau \\ 'SpectralBlur \\' MacOS Backdoor lié à la Corée du Nord New \\'SpectralBlur\\' macOS Backdoor Linked to North Korea (lien direct) |
SpectralBlur est une nouvelle porte dérobée macOS qui montre des similitudes avec le malware de Kandykorn de Kandykorn. de Kandykorn.
SpectralBlur is a new macOS backdoor that shows similarities with North Korean hacking group\'s KandyKorn malware. |
Malware | ★★★ | |
|
2024-01-05 12:32:58 | North Korea Debuts \'SpectralBlur\' Malware Amid macOS Onslaught (lien direct) | SpectralBlur est une nouvelle porte dérobée macOS qui montre des similitudes avec le malware de Kandykorn de Kandykorn. de Kandykorn.
SpectralBlur is a new macOS backdoor that shows similarities with North Korean hacking group\'s KandyKorn malware. |
Malware | ★★ | |
|
2024-01-05 11:00:00 | Chardeur asyncrat: obscurcissement, DGA, leurres et Govno AsyncRAT loader: Obfuscation, DGAs, decoys and Govno (lien direct) |
Executive summary
AT&T Alien Labs has identified a campaign to deliver AsyncRAT onto unsuspecting victim systems. During at least 11 months, this threat actor has been working on delivering the RAT through an initial JavaScript file, embedded in a phishing page. After more than 300 samples and over 100 domains later, the threat actor is persistent in their intentions.
Key takeaways:
The victims and their companies are carefully selected to broaden the impact of the campaign. Some of the identified targets manage key infrastructure in the US.
The loader uses a fair amount of obfuscation and anti-sandboxing techniques to elude automatic detections.
As part of the obfuscation, the attacker also uses a lot of variable’s names and values, which are randomly generated to harden pivot/detection by strings.
DGA domains are recycled every week and decoy redirections when a VM is identified to avoid analysis by researchers.
The ongoing registration of new and active domains indicates this campaign is still active.
There is an OTX pulse with more information.
Analysis
AsyncRAT is an open-source remote access tool released in 2019 and is still available in Github. As with any remote access tool, it can be leveraged as a Remote Access Trojan (RAT), especially in this case where it is free to access and use. For that reason, it is one of the most commonly used RATs; its characteristic elements include: Keylogging, exfiltration techniques, and/or initial access staging for final payload delivery.
Since it was initially released, this RAT has shown up in several campaigns with numerous alterations due to its open-sourced nature, even used by the APT Earth Berberoka as reported by TrendMicro.
In early September, AT&T Alien Labs observed a spike in phishing emails, targeting specific individuals in certain companies. The gif attachment led to a svg file, which also led to a download of a highly obfuscated JavaScript file, followed by other obfuscated PowerShell scripts and a final execution of an AsyncRAT client. This peculiarity was also reported by some users in X (formerly Twitter), like reecDeep and Igal Lytzki. Certain patterns in the code allowed us to pivot and look for more samples in this campaign, resulting in samples going back to February 2023. The registration of domains and subsequent AsyncRAT samples is still being observed at the time of writing this blog.
Figure1: Number of samples observed by Alien Labs in this campaign.
The modus operandi of the loader involves several stages which are further obfuscated by a Command and Control (C&C) server checking if the victim could be a sandbox prior to deploying the main AsyncRAT payload. In particular, when the C&C server doesn’t rely on the parameters sent, usually after stage 2, or when it is not expecting requests on a particular domain at that time, the C&C redirects to a benign page.
Figure 2. Execution flow.
During the whole campaign, JavaScript files have been delivered to targete |
Malware Tool Threat Technical | ★★ | |
|
2024-01-05 10:46:00 | NOUVEAUX RATS BANGOOK RAT Resurfaces, ciblant les machines Windows New Bandook RAT Variant Resurfaces, Targeting Windows Machines (lien direct) |
Une nouvelle variante de Troie d'accès à distance appelé & nbsp; bandook & nbsp; a été observée se propage via des attaques de phishing dans le but d'infiltrer les machines Windows, soulignant l'évolution continue du malware.
Fortinet Fortiguard Labs, qui a identifié l'activité en octobre 2023, a déclaré que les logiciels malveillants sont distribués via un fichier PDF qui intègre un lien vers une archive .7Z protégé par mot de passe.
"
A new variant of remote access trojan called Bandook has been observed being propagated via phishing attacks with an aim to infiltrate Windows machines, underscoring the continuous evolution of the malware. Fortinet FortiGuard Labs, which identified the activity in October 2023, said the malware is distributed via a PDF file that embeds a link to a password-protected .7z archive. “ |
Malware | ★★ | |
|
2024-01-04 22:13:12 | UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) | #### Description
Le groupe de menaces UAC-0050 s'est avéré utiliser une stratégie avancée qui permet un canal de transfert de données plus clandestin, contournant efficacement les mécanismes de détection utilisés par la détection et la réponse des terminaux (EDR) et les systèmes antivirus.
L'arme de choix du groupe est Remcosrat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage.Cependant, dans leur dernière tournure opérationnelle, le groupe UAC-0050 a intégré une méthode de tuyau pour la communication interprodique, présentant leur adaptabilité avancée.Le vecteur d'attaque initial n'a pas encore été identifié, bien que des indications penchent vers le phishing ou les e-mails de spam.Le fichier LNK est chargé de lancer le téléchargement d'un fichier HTA.Dans ce fichier HTA se trouve unLe script VBS qui, lors de l'exécution, déclenche un script PowerShell.Ce script PowerShell s'efforce de télécharger un malveillantPayload (word_update.exe) à partir d'un serveur.Lors du lancement, word_update.exe exécute CMD.exe et partage des données malveillantes via un tuyau.Par conséquent, cela conduit au lancement d'Explorer.exe avec le remcosrat malveillant résidant à la mémoire d'Explorer.exe.
La version REMCOS identifiée est 4.9.2 Pro, et elle a recueilli avec succès des informations sur la victime, y compris le nom de l'ordinateur et le nom d'utilisateur.Le remcosrat supprime les cookies et les données de connexion des navigateurs suivants: Internet Explorer, Firefox et Chrome.
#### URL de référence (s)
1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method
#### Date de publication
4 janvier 2024
#### Auteurs)
Recherche de menace de monture
#### Description The UAC-0050 threat group has been found to be using an advanced strategy that allows for a more clandestine data transfer channel, effectively circumventing detection mechanisms employed by Endpoint Detection and Response (EDR) and antivirus systems. The group\'s weapon of choice is RemcosRAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal. However, in their latest operational twist, the UAC-0050 group has integrated a pipe method for interprocess communication, showcasing their advanced adaptability. The initial attack vector is yet to be pinpointed, though indications lean towards phishing or spam emails. The LNK file is responsible for initiating the download of an HTA file. Within this HTA file lies a VBS script that, upon execution, triggers a PowerShell script. This PowerShell script endeavors to download a malicious payload (word_update.exe) from a server. Upon launching, word_update.exe executes cmd.exe and shares malicious data through a pipe. Consequently, it leads to the launch of explorer.exe with the malicious RemcosRAT residing in the memory of explorer.exe. The Remcos version identified is 4.9.2 Pro, and it has successfully gathered information about the victim, including the computer name and username. RemcosRAT removes cookies and login data from the following browsers: Internet Explorer, Firefox, and Chrome. #### Reference URL(s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Publication Date January 4, 2024 #### Author(s) Uptycs Threat Research |
Spam Malware Threat | ★★ | |
|
2024-01-04 18:15:00 | Les pirates utilisant des logiciels malveillants Remcos pour espionner l'Ukraine sont devenus furtifs, les chercheurs trouvent Hackers using Remcos malware to spy on Ukraine have become stealthier, researchers find (lien direct) |
Un groupe de pirates lié aux opérations de cyber-espionnage contre l'Ukraine améliore ses tactiques pour devenir plus secrètes et efficaces, selon un nouveau rapport.Suivi en tant que UAC-0050, le groupe déploie principalement l'outil de surveillance à distance Remcos pour cibler les agences gouvernementales en Ukraine.Les chercheurs de la société de cybersécurité Uptycs ont découvert une nouvelle méthode que
A hacker group linked to cyber espionage operations against Ukraine is improving its tactics to become more secretive and effective, according to a new report. Tracked as UAC-0050, the group primarily deploys the remote surveillance tool Remcos to target government agencies in Ukraine. Researchers at the cybersecurity firm Uptycs have discovered a new method that |
Malware Tool | ★★ | |
|
2024-01-04 14:25:00 | Groupe UAC-0050 utilisant de nouvelles tactiques de phishing pour distribuer Remcos Rat UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) |
L'acteur de menace connu sous le nom de UAC-0050 tire parti des attaques de phishing pour distribuer Remcos Rat en utilisant de nouvelles stratégies pour échapper à la détection des logiciels de sécurité.
"L'arme de choix du groupe est Remcos Rat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage", les chercheurs en sécurité Uptycs Karthick Kumar et Shilpesh Trivedi & nbsp; a dit & nbsp; in in
The threat actor known as UAC-0050 is leveraging phishing attacks to distribute Remcos RAT using new strategies to evade detection from security software. "The group\'s weapon of choice is Remcos RAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal," Uptycs security researchers Karthick Kumar and Shilpesh Trivedi said in |
Malware Threat | ★★★ | |
 |
2024-01-04 13:15:09 | MALWOWIRS INFOSTELER, Mot de passe faible laisse Orange Espagne mûr pour la cueillette Infostealer malware, weak password leaves Orange Spain RIPE for plucking (lien direct) |
pas de 2FA ou de caractères spéciaux pour empêcher la prise de contrôle de la base de données et BGP Hijack un mot de passe faible exposé par les logiciels malveillants infosiner.…
No 2FA or special characters to prevent database takeover and BGP hijack A weak password exposed by infostealer malware is being blamed after a massive outage at Orange Spain disrupted around half of its network\'s traffic.… |
Malware | ★★★ | |
|
2024-01-04 10:11:11 | Le piratage de compte mûr mène à une grande panne d'Internet chez Orange Espagne RIPE Account Hacking Leads to Major Internet Outage at Orange Spain (lien direct) |
> L'Internet d'Orange Spain \\ est tombé pendant plusieurs heures après le piratage de son compte mûr, probablement après que les logiciels malveillants ont volé les informations d'identification.
>Orange Spain\'s internet went down for several hours after its RIPE account was hacked, likely after malware stole the credentials. |
Malware | ★★★★ | |
|
2024-01-04 06:00:10 | Cybersecurity Stop of the Month: MFA Manipulation (lien direct) | This blog post is part of a monthly series exploring the ever-evolving tactics of today\'s cybercriminals. Cybersecurity Stop of the Month focuses on the critical first three steps in the attack chain in the context of email threats. The series is designed to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain: reconnaissance, initial compromise and persistence. So far in this series, we have covered the following types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing QR code phishing Telephone-oriented attack delivery (TOAD) Payroll diversion In this post, we examine an attack technique called multifactor (MFA) manipulation. This malicious post-compromise attack poses a significant threat to cloud platforms. We cover the typical attack sequence to help you understand how it works. And we dive deeper into how Proofpoint account takeover capabilities detected and prevented one of these threats for our customer. Background MFA manipulation is an advanced technique where bad actors introduce their own MFA method into a compromised cloud account. These attackers are used after a cloud account takeover attack, or ATO. ATOs are an insidious threat that are alarmingly common. Recent research by Proofpoint threat analysts found that in 2023 almost all businesses (96%) were targeted by cloud-based attacks. What\'s more, a whopping 60% were successfully compromised and had at least one account taken over. MFA manipulation attacks can work several ways with bad actors having multiple options for getting around MFA. One way is to use an adversary-in-the-middle (AiTM) attack. This is where the bad actor inserts a proxy server between the victim and the website that they\'re trying to log into. Doing so enables them to steal that user\'s password as well as the session cookie. There\'s no indication to the user that they\'ve been attacked-it just seems like they\'ve logged into their account as usual. However, the attackers have what they need to establish persistence, which means they can maintain access even if the stolen MFA credentials are revoked or deemed invalid. The scenario Recently, Proofpoint intercepted a series of MFA manipulation attacks on a large real estate company. In one case, the bad actors used an AiTM attack to steal the credentials of the firm\'s financial controller as well as the session cookie. Once they did that, they logged into that user\'s business account and generated 27 unauthorized access activities. The threat: How did the attack happen? Here is a closer look at how this MFA manipulation attack played out: 1. Bad actors used the native “My Sign-Ins” app to add their own MFA methods to compromise Microsoft 365 accounts. We observed that the attackers registered their own authenticator app with notification and code. They made this move right after they gained access to the hijacked account as part of an automated attack flow execution. This, in turn, allowed them to secure their foothold within the targeted cloud environment. The typical MFA manipulation flow using Microsoft\'s “My Sign-Ins” app. 2. After the compromise, the attackers demonstrated a sophisticated approach. They combined MFA manipulation with OAuth application abuse. With OAuth abuse, an attacker authorizes and/or uses a third-party app to steal data, spread malware or execute other malicious activities. Attackers also use the abused app to maintain persistent access to specific resources even after their initial access to a compromised account has been cut off. 3. The attackers authorized the seemingly benign application, “PERFECTDATA SOFTWARE,” to gain persistent access to the user\'s account and the systems, as well as the resources and applications that the user could access. The permissions the attackers requested for this app included: | Malware Tool Vulnerability Threat Cloud | ★★★ | |
|
2024-01-04 00:02:44 | Microsoft tue l'installation de l'application Windows sur le Web, encore une fois Microsoft kills off Windows app installation from the web, again (lien direct) |
Le package de Noël désagréable permet aux logiciels malveillants de descendre la cheminée Microsoft a désactivé un protocole qui a permis l'installation d'applications Windows après avoir constaté que les mécréants abusaient le mécanisme d'installer des logiciels malveillants.…
Unpleasant Christmas package lets malware down the chimney Microsoft has disabled a protocol that allowed the installation of Windows apps after finding that miscreants were abusing the mechanism to install malware.… |
Malware | ★★★ | |
|
2024-01-03 19:16:54 | APT28: de l'attaque initiale à la création de menaces à un contrôleur de domaine en une heure APT28: From Initial Attack to Creating Threats to a Domain Controller in an Hour (lien direct) |
#### Description
Entre le 15 et 25 décembre, 2023, une série de cyberattaques a été identifiée impliquant la distribution des e-mails contenant des liens vers des «documents» présumés parmi les organisations gouvernementales.
Cliquer sur ces liens a entraîné une infection des logiciels malveillants.L'enquête a révélé que les liens ont redirigé les victimes vers un site Web où un téléchargement basé sur JavaScript a lancé un fichier de raccourci.L'ouverture de ce fichier a déclenché une commande PowerShell pour télécharger et exécuter un document de leurre, un interprète Python et un fichier Masepie classifié nommé client.py.Par la suite, divers outils, notamment OpenSSH, Steelhook PowerShell Scripts et la porte dérobée OceanMap ont été téléchargés, avec des outils supplémentaires comme Impacket et SMBEXEC créés pour la reconnaissance du réseau et le mouvement latéral.Les tactiques globales, les techniques et les outils utilisés ont indiqué le groupe APT28.Notamment, la stratégie d'attaque a indiqué un plan plus large pour compromettre l'ensemble du système d'information et de communication de l'organisation, mettant l'accent sur la menace potentielle pour l'ensemble du réseau.Des attaques similaires ont également été signalées contre des organisations polonaises.
#### URL de référence (s)
1. https://cert.gov.ua/article/6276894
#### Date de publication
3 janvier 2024
#### Auteurs)
Certificat
#### Description Between December 15-25, 2023, a series of cyberattacks were identified involving the distribution of emails containing links to purported "documents" among government organizations. Clicking on these links resulted in malware infecting computers. Investigation revealed that the links redirected victims to a website where a JavaScript-based download initiated a shortcut file. Opening this file triggered a PowerShell command to download and execute a decoy document, a Python interpreter, and a classified MASEPIE file named Client.py. Subsequently, various tools including OPENSSH, STEELHOOK PowerShell scripts, and the OCEANMAP backdoor were downloaded, with additional tools like IMPACKET and SMBEXEC created for network reconnaissance and lateral movement. The overall tactics, techniques, and tools used pointed to the APT28 group. Notably, the attack strategy indicated a broader plan to compromise the entire organization\'s information and communication system, emphasizing the potential threat to the entire network. Similar attacks were also reported against Polish organizations. #### Reference URL(s) 1. https://cert.gov.ua/article/6276894 #### Publication Date January 3, 2024 #### Author(s) CERT-UA |
Malware Tool Threat | APT 28 | ★★★★ |
|
2024-01-03 18:46:00 | MALWORED Utilisation de Google Multilogin Exploit pour maintenir l'accès malgré la réinitialisation du mot de passe Malware Using Google MultiLogin Exploit to Maintain Access Despite Password Reset (lien direct) |
Les informations sur le vol de malwares profitent activement d'un point de terminaison Google Oauth sans papiers nommé Multilogin pour détourner les sessions utilisateur et permettent un accès continu aux services Google même après une réinitialisation de mot de passe.
Selon CloudSek, le & nbsp; Critical Exploit & NBSP; facilite la persistance de la session et la génération de cookies, permettant aux acteurs de menace de maintenir l'accès à une session valide dans un
Information stealing malware are actively taking advantage of an undocumented Google OAuth endpoint named MultiLogin to hijack user sessions and allow continuous access to Google services even after a password reset. According to CloudSEK, the critical exploit facilitates session persistence and cookie generation, enabling threat actors to maintain access to a valid session in an |
Malware Threat | ★★ | |
 |
2024-01-03 15:18:25 | Nouvelles recherches: les attaques de phishing ont volé 295 millions de dollars en crypto en 2023 New Research: Phishing Attacks Stole $295 Million In Crypto In 2023 (lien direct) |
Malware | ★★★ | ||
|
2024-01-03 15:04:12 | Plusieurs infostateurs utilisant des cookies persistants pour détourner les comptes Google Several Infostealers Using Persistent Cookies to Hijack Google Accounts (lien direct) |
> Une vulnérabilité dans le processus d'authentification de Google \\ permet aux logiciels malveillants de restaurer les cookies et de détourner les sessions utilisateur.
>A vulnerability in Google\'s authentication process allows malware to restore cookies and hijack user sessions. |
Malware Vulnerability | ★★★ | |
|
2024-01-03 11:43:54 | 21 nouvelles familles de logiciels malveillants Mac ont émergé en 2023 21 New Mac Malware Families Emerged in 2023 (lien direct) |
> Au total, 21 nouvelles familles de logiciels malveillants ciblant les systèmes MacOS ont été découvertes en 2023, soit une augmentation de 50% par rapport à 2022.
>A total of 21 new malware families targeting macOS systems were discovered in 2023, a 50% increase compared to 2022. |
Malware Studies | ★★★★ | |
 |
2024-01-02 23:46:43 | Détection de la reconnaissance interne dans les environnements de domaine en utilisant EDR Detection of Internal Reconnaissance in Domain Environments Using EDR (lien direct) |
Alors que les acteurs de la menace peuvent augmenter les bénéfices en installant des co -miners ouUn logiciel malveillant de porte dérobée ou de rat pour prendre le contrôle du système infecté.Les infostelleurs sont utilisés dans le but de voler des informations sur les utilisateurs dans le système, mais parfois, ils sont utilisés pour obtenir des données qui peuvent être utilisées pour prendre le contrôle du système cible afin d'installer finalement des co -miners ou des ransomwares.Cela peut ne pas être important si l'attaque cible ...
While threat actors can raise a profit by installing CoinMiners or ransomware strains after initial access, they often first install a backdoor or RAT malware to seize control over the infected system. Infostealers are used for the purpose of stealing user information in the system, but sometimes, they are used to obtain data that can be utilized in gaining control over the target system to ultimately install CoinMiners or ransomware. This may not be of significance if the attack target... |
Ransomware Malware Threat | ★★★ | |
|
2024-01-02 19:59:14 | Google mot de passe ne réinitialise pas suffisamment pour arrêter ces souches de logiciels malveillants qui volent les informations Google password resets not enough to stop these info-stealing malware strains (lien direct) |
Maintenant, chaque ingénieur saute sur le trou de sécurité du compte de Big G \\ Les chercheurs en sécurité affirment que les logiciels malveillants d'information peuvent toujours accéder aux victimes \\ 'compromises des comptes Google même après la modification des mots de passe.… | Malware | ★★★ | |
|
2024-01-01 12:22:00 | Nouveau Jinxloader ciblant les utilisateurs avec Formbook et Xloader malware New JinxLoader Targeting Users with Formbook and XLoader Malware (lien direct) |
Un nouveau chargeur de logiciels malveillants basé sur GO appelé & nbsp; Jinxloader & nbsp; est utilisé par les acteurs de la menace pour fournir des charges utiles à la prochaine étape telles que & nbsp; FormBook et son successeur xloader.
Le & nbsp; divulgation & nbsp; provient des sociétés de cybersécurité Palo Alto Networks Unit 42 et Symantec, qui ont tous deux mis en évidence des séquences d'attaques en plusieurs étapes qui ont conduit au déploiement de Jinxloader par des attaques de phishing.
"Le
A new Go-based malware loader called JinxLoader is being used by threat actors to deliver next-stage payloads such as Formbook and its successor XLoader. The disclosure comes from cybersecurity firms Palo Alto Networks Unit 42 and Symantec, both of which highlighted multi-step attack sequences that led to the deployment of JinxLoader through phishing attacks. "The |
Malware Threat | ★★★ | |
|
2024-01-01 11:05:10 | Les opérations d'application de la loi ciblant la cybercriminalité en 2023 The law enforcement operations targeting cybercrime in 2023 (lien direct) |
En 2023, nous avons vu de nombreuses opérations d'application de la loi ciblant les opérations de cybercriminalité, notamment des escroqueries de crypto-monnaie, des attaques de phishing, un vol d'identification, un développement de logiciels malveillants et des attaques de ransomwares.[...]
In 2023, we saw numerous law enforcement operations targeting cybercrime operations, including cryptocurrency scams, phishing attacks, credential theft, malware development, and ransomware attacks. [...] |
Ransomware Malware Legislation | ★★★ | |
|
2023-12-31 19:14:22 | Microsoft désactive l'installateur de l'application après que la fonctionnalité est abusée pour les logiciels malveillants Microsoft Disables App Installer After Feature is Abused for Malware (lien direct) |
> Par deeba ahmed
Selon l'équipe Microsoft Threat Intelligence, les acteurs de la menace étiquetés comme \\ 'motivé financièrement \' utilisent le schéma URI MS-Appinstaller pour la distribution de logiciels malveillants.
Ceci est un article de HackRead.com Lire le post original: Microsoft désactive l'installateur de l'application après que la fonctionnalité est abusée pour les logiciels malveillants
>By Deeba Ahmed According to the Microsoft Threat Intelligence Team, threat actors labeled as \'financially motivated\' utilize the ms-appinstaller URI scheme for malware distribution. This is a post from HackRead.com Read the original post: Microsoft Disables App Installer After Feature is Abused for Malware |
Malware Tool Threat | ★★★ | |
|
2023-12-29 18:08:28 | MALWORED Tirageant Google Cookie Exploit via la fonctionnalité OAuth2 Malware Leveraging Google Cookie Exploit via OAuth2 Functionality (lien direct) |
> Par deeba ahmed
Entre autres, les développeurs de la tristement célèbre Lumma, un malware infosélérateur, utilisent déjà l'exploit en utilisant Advanced & # 8230;
Ceci est un article de HackRead.com Lire le post d'origine: MALWORED Tirageant Google Cookie Exploit via la fonctionnalité OAuth2
>By Deeba Ahmed Among others, developers of the infamous Lumma, an infostealer malware, are already using the exploit by employing advanced… This is a post from HackRead.com Read the original post: Malware Leveraging Google Cookie Exploit via OAuth2 Functionality |
Malware Threat | ★★★ | |
|
2023-12-29 16:11:00 | Cert-Ua découvre une nouvelle vague de logiciels malveillants distribuant OceanMap, Masepie, Steelhook CERT-UA Uncovers New Malware Wave Distributing OCEANMAP, MASEPIE, STEELHOOK (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a mis en garde contre une nouvelle campagne de phishing orchestrée par le & NBSP; Russie-Linked & NBSP; APT28 & NBSP; Group & NBSP; pour déployer des logiciels malveillants non documentés auparavant tels que OceanMap, MasEpie et Steelhook pour récolter des informations sensibles.
L'activité, qui était & nbsp; détecté & nbsp; par l'agence entre le 15 et le 25 décembre 2023, cible les entités gouvernementales
The Computer Emergency Response Team of Ukraine (CERT-UA) has warned of a new phishing campaign orchestrated by the Russia-linked APT28 group to deploy previously undocumented malware such as OCEANMAP, MASEPIE, and STEELHOOK to harvest sensitive information. The activity, which was detected by the agency between December 15 and 25, 2023, targets government entities |
Malware | ★★★ |
To see everything:
Our RSS (filtrered)
