What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-27 11:48:37 | \\ 'Snatch \\' Ransom Group expose les adresses IP du visiteur \\'Snatch\\' Ransom Group Exposes Visitor IP Addresses (lien direct) |
Le site de honte de victime exploité par le Snatch Ransomware Group fuit des données sur son véritable emplacement en ligne et ses opérations internes, ainsi que les adresses Internet de ses visiteurs, a révélé KrebsSonsecurity.Les données divulguées suggèrent que Snatch est l'un des nombreux groupes de ransomware utilisant des annonces payantes sur Google.com pour inciter les gens à l'installation de malwares déguisés en logiciels gratuits populaires, tels que Microsoft Teams, Adobe Reader, Mozilla Thunderbird et Discord.
The victim shaming site operated by the Snatch ransomware group is leaking data about its true online location and internal operations, as well as the Internet addresses of its visitors, KrebsOnSecurity has found. The leaked data suggest that Snatch is one of several ransomware groups using paid ads on Google.com to trick people into installing malware disguised as popular free software, such as Microsoft Teams, Adobe Reader, Mozilla Thunderbird, and Discord. |
Ransomware Malware | ★★★ | |
 |
2023-09-27 09:39:47 | AppDome publie de nouvelles défenses pour lutter contre l'accessibilité malveillante Appdome Releases New Defenses to Combat Accessibility Malware (lien direct) |
AppDome publie de nouvelles défenses pour lutter contre l'accessibilité malveillante
-
revues de produits
Appdome Releases New Defenses to Combat Accessibility Malware - Product Reviews |
Malware | ★★★ | |
 |
2023-09-26 16:30:00 | Plus de 30 banques américaines ciblées dans une nouvelle campagne de logiciels malveillants Xenomorph More than 30 US Banks Targeted in New Xenomorph Malware Campaign (lien direct) |
ThreatFabric a expliqué que les logiciels malveillants s'appuient sur des pages Web trompeuses de phishing se faisant passer pour une mise à jour chromée
ThreatFabric explained the malware relies on deceptive phishing webpages posing as a Chrome update |
Malware | ★★ | |
|
2023-09-26 16:00:00 | Les logiciels malveillants de Zenrat découverts dans une imitation de bitwarden ZenRAT Malware Uncovered in Bitwarden Impersonation (lien direct) |
Découvert par Proofpoint, Zenrat est un cheval de Troie à télécommande modulaire ciblant les utilisateurs de Windows
Discovered by Proofpoint, ZenRAT is a modular remote access trojan targeting Windows users |
Malware | ★★ | |
|
2023-09-26 13:45:37 | Nouveaux logiciels malveillants de vol d'informations découverts ciblant les utilisateurs de Windows & # 8211;Point de preuve New information-stealing malware discovered targeting Windows users – Proofpoint (lien direct) |
Nouveaux logiciels malveillants de vol d'informations découverts ciblant les utilisateurs de Windows & # 8211;Preovpoint
-
mise à jour malveillant
New information-stealing malware discovered targeting Windows users – Proofpoint - Malware Update |
Malware | ★★ | |
 |
2023-09-26 13:00:00 | Cyberheistnews Vol 13 # 39 Comment les mauvais acteurs chinois ont infecté les réseaux par des logiciels malveillants de bâton de pouce CyberheistNews Vol 13 #39 How Chinese Bad Actors Infected Networks With Thumb Stick Malware (lien direct) |
|
Malware | ★★★ | |
|
2023-09-26 12:40:21 | Proofpoint détecte un nouveau malware ciblant les utilisateurs Windows (lien direct) | Proofpoint inc. publie de nouvelles recherches suite à la découverte d'un nouvel malware baptisé ZenRAT. Ce cheval de Troie modulaire d'accès à distance infecte les utilisateurs de Windows pour ensuite voler leurs informations. - Malwares | Malware | ★★ | |
 |
2023-09-26 05:00:51 | Zenrat: les logiciels malveillants apportent plus de chaos que de calme ZenRAT: Malware Brings More Chaos Than Calm (lien direct) |
Key Takeaways Proofpoint identified a new malware called ZenRAT being distributed via fake installation packages of the password manager Bitwarden. The malware is specifically targeting Windows users and will redirect people using other hosts to a benign webpage. At this time, it is unknown how the malware is being distributed. The malware is a modular remote access trojan (RAT) with information stealing capabilities. Overview Proofpoint Emerging Threats often receives tips from the community leading to the investigation and detection of novel malware. On 10 August 2023, Jérôme Segura, Senior Director of Threat Intelligence at Malwarebytes shared a malware sample that was being distributed as a part of a Windows software installation package. The sample was initially discovered on a website pretending to be associated with Bitwarden, bitwariden[.]com, a very convincing lookalike to the real bitwarden.com. Packaged with a standard Bitwarden installation package is a malicious .NET executable that we have dubbed “ZenRAT”. At this time, it is unknown how the malware is being distributed, however historic activities that have masqueraded as fake software installers have been delivered via SEO Poisoning, adware bundles, or via email. Figure 1: Fake Bitwarden website, bitwariden[.]com. bears a remarkable resemblance in theme with bitwarden.com. It is uncertain as to how traffic is being directed to this domain. Specifically Targeting Windows Users The malicious website only displays the fake Bitwarden download if a user accesses it via a Windows host. If a non-Windows user attempts to navigate to this domain, the page changes to something entirely different. Figure 2: If a non-Windows user attempts to visit the malicious website, they are instead redirected to a cloned opensource.com article. This screen capture was taken using Mozilla Firefox on Ubuntu 22.04. The website instead masquerades as the legitimate website “opensource.com”, going so far as to clone an article from Opensource.com by Scott Nesbitt, about the Bitwarden password manager. Additionally, if Windows users click download links marked for Linux or MacOS on the Downloads page, they are instead redirected to the legitimate Bitwarden site, vault.bitwarden.com. Clicking the Download button or the Desktop installer for Windows download button results in an attempt to download Bitwarden-Installer-version-2023-7-1.exe. This payload is hosted on the domain crazygameis[.]com, which as of this writing no longer appears to be hosting the payload: Figure 3: When Windows users click either the Download button or the desktop installer for Windows option, a request is made to crazygameis[.]com to retrieve the malicious Bitwarden installer. The domain registrar for both domains appears to be NiceNIC International Group, while the sites themselves appear to be hosted on Cloudflare. Installer Details The malicious installer, Bitwarden-Installer-version-2023-7-1.exe appears to have been first reported on VirusTotal on 28 July 2023, under a different name CertificateUpdate-version1-102-90. Figure 4: So far, the installer sample has been seen twice in relatively close proximity under two entirely different names. Looking at the details of the installer, we can see that the digital signature is not valid, but more interestingly, the installer is claiming to be Piriform\'s Speccy – a software application for gathering system specifications. Figure 5: The file metadata for the malicious bitwarden installer claims that it is Speccy, an application that is used to gather information (specs) about the system on which the application is run. Not only that, the installer claims that it is signed by Tim Kosse, an open-source software developer most well-known for the Filezilla FTP/SFTP software. Figure 6: In addition to the questionable file properties, the installer has an invalid digital signature, and claims to have been signed by Tim Kosse, an open-source developer most well-k | Malware Tool Threat | ★★ | |
 |
2023-09-25 21:17:00 | Xenomorph Android Malware cible les clients de 30 banques américaines Xenomorph Android Malware Targets Customers of 30 US Banks (lien direct) |
Le Troie infectait principalement les banques en Europe depuis sa première apparition il y a plus d'un an.
The Trojan had mainly been infecting banks in Europe since it first surfaced more than one year ago. |
Malware | ★ | |
|
2023-09-25 13:53:35 | Les organisations commencent à comprendre l'impact des ransomwares, mais leurs efforts ne sont pas suffisants pour surmonter les logiciels malveillants de l'infostaler Organizations Starting to Understand the Impact of Ransomware, But Their Efforts Not Enough to Overcome Infostealer Malware (lien direct) |
Les résultats récents dans un rapport Spycloud montrent que les entreprises commencent à reconnaître et à déplacer leurs priorités pour se défendre contre Ransomware Attaques, mais l'utilisationdes logiciels malveillants d'infostealer ont toujours un taux de réussite élevé pour les cybercriminels.
Recent findings in a SpyCloud report shows companies are starting to recognize and shift their priorities to defend against ransomware attacks, but the use of infostealer malware still has a high success rate for cybercriminals. |
Ransomware Malware | ★★ | |
 |
2023-09-25 11:16:02 | Xenomorph Android Malware cible désormais les banques américaines et les portefeuilles crypto Xenomorph Android malware now targets U.S. banks and crypto wallets (lien direct) |
Les chercheurs en sécurité ont découvert une nouvelle campagne qui distribue une nouvelle version des logiciels malveillants Xenomorph aux utilisateurs d'Android aux États-Unis, au Canada, en Espagne, en Italie, au Portugal et en Belgique.[...]
Security researchers discovered a new campaign that distributes a new version of the Xenomorph malware to Android users in the United States, Canada, Spain, Italy, Portugal, and Belgium. [...] |
Malware | ★★★ | |
|
2023-09-25 09:00:00 | Les chercheurs repèrent la porte dérobée «Deadglyph» Researchers Spot Novel “Deadglyph” Backdoor (lien direct) |
Les logiciels malveillants sont liés à des espions soutenus par les EAU
Malware is linked to UAE-backed spies |
Malware | ★★ | |
|
2023-09-23 17:00:00 | Nouveaux logiciels malveillants furtifs et modulaires utilisés dans les attaques gouvernementales New stealthy and modular Deadglyph malware used in govt attacks (lien direct) |
Un logiciel de porte dérobée roman et sophistiqué nommé \\ 'Deadglyph \' a été vu utilisé dans une attaque de cyberespionnage contre une agence gouvernementale au Moyen-Orient.[...]
A novel and sophisticated backdoor malware named \'Deadglyph\' was seen used in a cyberespionage attack against a government agency in the Middle East. [...] |
Malware | ★★ | |
 |
2023-09-23 16:40:00 | Deadglyph: Nouvelle porte arrière avancée avec des tactiques de logiciels malveillants distinctifs Deadglyph: New Advanced Backdoor with Distinctive Malware Tactics (lien direct) |
Les chercheurs en cybersécurité ont découvert une porte dérobée avancée préalable sans papiers surnommée Deadglyph employée par un acteur de menace connu sous le nom de Falce Falcon dans le cadre d'une campagne de cyber-espionnage.
"L'architecture de Deadglyph \\ est inhabituelle car elle est constituée de composants coopérants & # 8211; L'un d'un binaire natif x64, l'autre A.NET Assembly", a déclaré Eset dans un nouveau rapport partagé avec The Hacker News.
"Cette combinaison
Cybersecurity researchers have discovered a previously undocumented advanced backdoor dubbed Deadglyph employed by a threat actor known as Stealth Falcon as part of a cyber espionage campaign. "Deadglyph\'s architecture is unusual as it consists of cooperating components – one a native x64 binary, the other a .NET assembly," ESET said in a new report shared with The Hacker News. "This combination |
Malware Threat | ★★★ | |
 |
2023-09-23 04:25:54 | Emplacements de persistance de logiciels malveillants: Windows et Linux Malware Persistence Locations: Windows and Linux (lien direct) |
La persistance des logiciels malveillants est un aspect crucial des cyber-menaces qui passe souvent inaperçue par les utilisateurs sans méfiance.Dans le domaine de la cybersécurité, il fait référence à la capacité des logiciels malveillants à établir un pied sur un système ciblé, lui permettant de maintenir sa présence sur une période prolongée.Cette persistance est réalisée grâce à diverses techniques secrètes, [& # 8230;]
Malware persistence is a crucial aspect of cyber threats that often goes unnoticed by unsuspecting users. In the realm of cybersecurity, it refers to the ability of malicious software to establish a foothold on a targeted system, allowing it to maintain its presence over an extended period. This persistence is achieved through various covert techniques, […] |
Malware | ★★★★ | |
 |
2023-09-22 21:42:55 | Recherche de menace de pointe de l'ESET à LabsCon & # 8211;Semaine en sécurité avec Tony Anscombe ESET\\'s cutting-edge threat research at LABScon – Week in security with Tony Anscombe (lien direct) |
Cette année, deux chercheurs de logiciels malveillants ESET sont allés sur le laboratoire pour déconstruire des attaques sophistiquées menées par deux groupes APT bien connus
Two ESET malware researchers took to the LABScon stage this year to deconstruct sophisticated attacks conducted by two well-known APT groups |
Malware Threat | ★★ | |
|
2023-09-22 20:18:00 | Nouvelle variante de la banque BBTOK cible plus de 40 banques d'Amérique latine New Variant of Banking Trojan BBTok Targets Over 40 Latin American Banks (lien direct) |
Une campagne de logiciels malveillants active ciblant l'Amérique latine dispense une nouvelle variante d'un cheval de Troie bancaire appelé BBTOK, en particulier des utilisateurs du Brésil et du Mexique.
"Le banquier BBTOK a une fonctionnalité dédiée qui reproduit les interfaces de plus de 40 banques mexicaines et brésiliennes, et incite les victimes à entrer dans son code 2FA sur leurs comptes bancaires ou à entrer dans leur numéro de carte de paiement", "
An active malware campaign targeting Latin America is dispensing a new variant of a banking trojan called BBTok, particularly users in Brazil and Mexico. "The BBTok banker has a dedicated functionality that replicates the interfaces of more than 40 Mexican and Brazilian banks, and tricks the victims into entering its 2FA code to their bank accounts or into entering their payment card number," |
Malware | ★★ | |
 |
2023-09-22 16:08:06 | EvilBamboo cible les appareils mobiles dans une campagne pluriannuelle EvilBamboo Targets Mobile Devices in Multi-year Campaign (lien direct) |
> La volexité a identifié plusieurs campagnes de longue durée et actuellement actives entrepris par les pistes de volexité de la menace comme le maléfique (anciennement Evil Eye) ciblant les individus et les organisations taiwanais, ouïghour et taïwanais.Ces objectifs représentent trois des cinq groupes toxiques du Parti communiste chinois (PCC).La volexité a suivi les activités de EvilBamboo depuis plus de cinq ans et continue d'observer de nouvelles campagnes de cet acteur de menace.En septembre 2019, la volexité a décrit le déploiement d'un cadre de reconnaissance et de logiciels malveillants Android personnalisés ciblant les communautés ouïghour et tibétaine.En avril 2020, les attaques détaillées par volexité par cet acteur de menace contre les appareils iOS, en utilisant un exploit de safari pour infecter les utilisateurs ouïghour avec des logiciels malveillants iOS personnalisés.Les principaux faits saillants des enquêtes récentes de Volexity \\ incluent les éléments suivants: Ciblage Android: Développement de trois familles de logiciels malveillants Android personnalisés, Badbazaar, Badsignal et Badsolar, pour infecter les adversaires du CCP est en cours.Faux sites Web et profils de médias sociaux: l'attaquant a [& # 8230;]
>Volexity has identified several long-running and currently active campaigns undertaken by the threat actor Volexity tracks as EvilBamboo (formerly named Evil Eye) targeting Tibetan, Uyghur, and Taiwanese individuals and organizations. These targets represent three of the Five Poisonous Groups of Chinese Communist Party (CCP). Volexity has tracked the activities of EvilBamboo for more than five years and continues to observe new campaigns from this threat actor. In September 2019, Volexity described the deployment of a reconnaissance framework and custom Android malware targeting both the Uyghur and Tibetan communities. In April 2020, Volexity detailed attacks by this threat actor against iOS devices, using a Safari exploit to infect Uyghur users with custom iOS malware. Key highlights from Volexity\'s recent investigations include the following: Android targeting: Development of three custom Android malware families, BADBAZAAR, BADSIGNAL, and BADSOLAR, to infect CCP adversaries is ongoing. Fake websites and social media profiles: The attacker has […] |
Malware Threat Technical | ★★★ | |
 |
2023-09-22 15:00:00 | T-Mobile nie les rumeurs d'une violation affectant les données des employés T-Mobile denies rumors of a breach affecting employee data (lien direct) |
T-Mobile a déclaré que les rumeurs d'une violation affectant leurs employés \\ 'sont inexactes, attribuant une fuite à une attaque d'avril contre un détaillant indépendant.Jeudi soir, les chercheurs du référentiel de logiciels malveillants VX-Underground ont dit et "emo" sur une violation qui s'est produite en avril & # 8211;droite
T-Mobile said rumors of a breach affecting their employees\' data are inaccurate, attributing a leak to an April attack on an independent retailer. On Thursday evening, researchers for the malware repository vx-underground said they had been contacted by hackers going by the names "Doubl" and "Emo" about a breach that occurred in April – right |
Malware | ★★ | |
|
2023-09-22 14:15:05 | Pirate «eminэm» Von Check Point Research Entlarvt Hacker „EMINэM“ von Check Point Research entlarvt (lien direct) |
Le pirate est derrière les cyberattaques avec un logiciel apparemment légitime dans EMEA et APAC.Recherche de point de contrôle (RCR), le département de recherche deVérifier Point & Reg;Software Technologies Ltd. (NASDAQ: CHKP), expose le pirate "Eminэm", qui est responsable des logiciels malveillants, les objectifs de la région EMEA et APAC se réunissentt.Le pirate diffuse le malware et Uuml; sur un logiciel apparemment légitime: Trojan à distance à distance (rat) et Guloader (égalementConnu sous le nom de Clouye et TheProtect) sont annoncés comme des outils légitimes.Cependant, ils sont utilisés dans de grandes formes de cyberattaques et régulièrement aux programmes malveillants les plus répandus.
-
malware
Der Hacker steckt hinter Cyberangriffen mit scheinbar legitimer Software in EMEA und APAC. Check Point Research (CPR), die Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), entlarvt den Hacker „EMINэM“, der sich für eine Malware verantwortlich zeichnet, die Ziele in der EMEA- und APAC-Region trifft. Der Hacker verbreitet die Malware über scheinbar legitime Software: Remcos Remote Access Trojan (RAT) und GuLoader (auch bekannt als CloudEyE und TheProtect) werden zwar vordergründig als legitime Tools beworben. Sie werden jedoch in großem Umfang für Cyberangriffe genutzt und zählen durchweg zu den am weitesten verbreiteten Schadprogrammen. - Malware |
Malware Tool | ★★ | |
|
2023-09-22 10:26:15 | ESET découvre que le groupe OilRig a déployé un nouveau malware sur des victimes israéliennes (lien direct) | ESET découvre que le groupe OilRig a déployé un nouveau malware sur des victimes israéliennes Vue d'ensemble de la chaîne de compromission spatiale d'OilRig • ESET Research a analysé deux campagnes menées par le groupe OilRig en 2021 (Outer Space) et 2022 (Juicy Mix). Ce groupe APT est aligné avec les intérêts de l'Iran. • Les opérateurs ont ciblé exclusivement des organisations israéliennes et compromettaient des sites Web israéliens légitimes afin de les utiliser comme centre de communications et de contrôle (C & C / C2). • Ils ont utilisé une nouvelle porte dérobée inédite dans chaque campagne : Solar in Outer Space, puis son successeur Mango in Juicy Mix. • Une grande variété d'outils a été déployée à la suite des compromissions. Ces outils ont été utilisés pour collecter des informations sensibles à partir des principaux navigateurs et du Gestionnaire de mots de passe de Windows. - Malwares | Malware Tool | APT 34 | ★★★ |
|
2023-09-22 05:00:48 | 10 Exemples d'escroque 10 Real-World Business Email Compromise (BEC) Scam Examples (lien direct) |
Business email compromise (BEC) is an email scam where malicious actors impersonate a trusted source using a spoofed, lookalike or compromised account. Fraudsters send targeted emails to employees, business partners or customers. The recipients, believing the emails are legitimate, then take actions that lead to scammers gaining access to sensitive data, funds or accounts. Notably, most BEC attacks result in fraudulent wire transfer or financial payment. The FBI\'s Internet Crime Complaint Center reports that businesses lost more than $2.7 billion to BEC scams in 2022. That\'s more than one-quarter of all the cyber crime-related financial losses for that year. Proofpoint research for the 2023 State of the Phish report showed that 75% percent of organizations experienced at least one BEC attack last year. BEC is often hard to detect because there is no malicious payload, such as URL or attachment. And yet, it\'s easy to understand why BEC scams are so successful. Just take a closer look at the various social engineering tactics used in the following 10 recent BEC attacks, which are a testament to fraudsters\' creativity, ingenuity and persistence. #1: Fraudster steals more than 1,000 unpublished manuscripts What happened: Filippo Bernardini, an employee at the U.K. operation of publishing company Simon & Schuster, impersonated book agents, editors, authors and others for years in a quest to obtain unpublished manuscripts. The book thief\'s aim: to read new works before anyone else. BEC strategy: Bernardini registered more than 160 fake internet domains to send emails from slightly altered, official-looking email addresses. A key factor in his success was his insider knowledge of the publishing world. #2: Real estate firm loses €38 million to international gang of fraudsters What happened: A real estate developer in Paris, Sefri-Cime, was targeted by an international email “CEO fraud” gang in December 2022. The group managed to steal €38 million through one BEC scam, which they then laundered through bank accounts in various countries, including China and Israel. BEC strategy: The firm\'s CFO received an email from someone claiming to be a lawyer at a well-known French accounting firm. Within days, the fraudster had gained the CFO\'s trust and began to make successful requests for large and urgent transfers of millions of euros. #3: Eagle Mountain City, Utah, sends $1.13 million to vendor impersonator What happened: This rapidly growing, master-planned community had so many new projects underway that busy city officials grew accustomed to receiving requests for large payments from various vendors-and thus, became less vigilant about looking out for potential scams. BEC strategy: In August 2022, Eagle Mountain was engaged in a construction project to widen a major road. During an email exchange between city officials and its construction vendor, BEC scammers inserted themselves into an email thread and impersonated the vendor. The cyber criminals persuaded a staff member to transfer an electronic payment to them instead. #4: Fraudsters steal $2.8 million from Grand Rapids Public Schools in Michigan What happened: A California couple defrauded a Midwestern school district and went on a spending spree with the stolen funds. It all started when they gained access to an email account of the school district\'s benefits manager. It all began to unravel after an insurance company inquired about the missing funds. BEC strategy: The fraudsters monitored correspondence between the district and its health insurance vendor about monthly insurance payments. They then sent an email to a district finance specialist asking them to change the wiring information for those payments. That person complied, which resulted in two large payments being sent to the bank account of a California nail salon that the couple owned. #5: CFO impersonator defrauds Children\'s Healthcare of Atlanta of $3.6 million What happened: This pediatric care provider\'s experience with B | Malware Threat | ★★ | |
|
2023-09-21 22:04:00 | Mystérieux \\ 'Sandman \\' APT cible le secteur des télécommunications avec une nouvelle porte dérobée Mysterious \\'Sandman\\' APT Targets Telecom Sector With Novel Backdoor (lien direct) |
Le principal logiciel malveillant du Sandman Group est parmi les très rares qui utilisent le langage de script LUA et son compilateur juste à temps.
The Sandman group\'s main malware is among the very few that use the Lua scripting language and its just-in-time compiler. |
Malware | ★★ | |
 |
2023-09-21 19:50:30 | Sandman apt |Un groupe mystère ciblant les opérateurs de télécommunications avec une boîte à outils Luajit Sandman APT | A Mystery Group Targeting Telcos with a LuaJIT Toolkit (lien direct) |
L'acteur de menace sophistiqué déploie des logiciels malveillants haut de gamme en utilisant la plate-forme Luajit aux opérateurs de porte dérobée en Europe, au Moyen-Orient et en Asie du Sud.
Sophisticated threat actor deploys high-end malware utilizing the LuaJIT platform to backdoor telcos in Europe, Middle East and South Asia. |
Malware Threat | ★★★ | |
 |
2023-09-21 19:50:00 | NOUVEAU \\ 'Sandman \\' APT GROUP frappant les opérateurs de télécommunications avec des logiciels malveillants rares Luajit New \\'Sandman\\' APT Group Hitting Telcos With Rare LuaJIT Malware (lien direct) |
Nouveau et mystérieux APT Sandman a repéré ciblant les opérateurs de télécommunications en Europe et en Asie dans le cadre d'une campagne de cyberespionnage.
New and mysterious APT Sandman spotted targeting telcos in Europe and Asia as part of a cyberespionage campaign. |
Malware | ★★ | |
|
2023-09-21 19:46:21 | Chinese Spies Infected Dozens of Networks With Thumb Drive Malware (lien direct) |
|
Malware | ★★ | |
 |
2023-09-21 19:04:58 | BBTOK Malware revient, ciblant plus de 40 banques au Brésil et au Mexique BBTok Malware Returns, Targeting Over 40 Banks in Brazil and Mexico (lien direct) |
> Par deeba ahmed
La nouvelle variante BBTOK Banking Trojan émerge en Amérique latine: Recherche de point de contrôle.
Ceci est un article de HackRead.com Lire le post original: BBTOK Malware revient, ciblant plus de 40 banques au Brésil et au Mexique
>By Deeba Ahmed New BBTok Banking Trojan Variant Emerges in Latin America: Check Point Research. This is a post from HackRead.com Read the original post: BBTok Malware Returns, Targeting Over 40 Banks in Brazil and Mexico |
Malware | ★★ | |
|
2023-09-21 18:21:00 | Les chercheurs soulèvent un drapeau rouge sur des logiciels malveillants P2Pinfect avec une surtension d'activité 600x Researchers Raise Red Flag on P2PInfect Malware with 600x Activity Surge (lien direct) |
Le ver peer-to-peer (P2) connu sous le nom de P2Pinfect a été témoin d'une vague d'activité depuis fin août 2023, assisse à un saut de 600x entre le 12 et le 19 septembre 2023.
"Cette augmentation du trafic P2Pinfect a coïncidé avec un nombre croissant de variantes observées dans la nature, ce qui suggère que les développeurs du malware \\ fonctionnent à une cadence de développement extrêmement élevée", a déclaré le chercheur de la sécurité de Cado, Matt Muir
The peer-to-peer (P2) worm known as P2PInfect has witnessed a surge in activity since late August 2023, witnessing a 600x jump between September 12 and 19, 2023. "This increase in P2PInfect traffic has coincided with a growing number of variants seen in the wild, suggesting that the malware\'s developers are operating at an extremely high development cadence," Cado Security researcher Matt Muir |
Malware | ★★ | |
|
2023-09-21 15:50:00 | \\ 'Sandman \\' Hackers Telcos de porte dérobée avec de nouveaux logiciels malveillants Luadream \\'Sandman\\' hackers backdoor telcos with new LuaDream malware (lien direct) |
Un acteur de menace auparavant inconnu surnommé \\ 'Sandman \' cible les fournisseurs de services de télécommunication au Moyen-Orient, en Europe occidentale et en Asie du Sud, en utilisant un malware modulaire de vol inoffensif nommé \\ 'luadream. \' [...]
A previously unknown threat actor dubbed \'Sandman\' targets telecommunication service providers in the Middle East, Western Europe, and South Asia, using a modular info-stealing malware named \'LuaDream.\' [...] |
Malware Threat | ★ | |
|
2023-09-21 14:18:00 | Hacker ukrainien soupçonné d'être derrière l'attaque de logiciels malveillants du "gestionnaire de téléchargement gratuit" Ukrainian Hacker Suspected to be Behind "Free Download Manager" Malware Attack (lien direct) |
Les responsables de Free Download Manager (FDM) ont reconnu un incident de sécurité datant de 2020 qui a conduit son site Web à distribuer des logiciels Linux malveillants.
"Il semble qu'une page Web spécifique de notre site ait été compromise par un groupe de pirates ukrainien, l'exploitant pour distribuer des logiciels malveillants", a-t-il déclaré dans une alerte la semaine dernière."Seul un petit sous-ensemble d'utilisateurs, en particulier
The maintainers of Free Download Manager (FDM) have acknowledged a security incident dating back to 2020 that led to its website being used to distribute malicious Linux software. "It appears that a specific web page on our site was compromised by a Ukrainian hacker group, exploiting it to distribute malicious software," it said in an alert last week. "Only a small subset of users, specifically |
Malware | ★★ | |
 |
2023-09-21 13:00:56 | Check Point remporte le prix Globee Leadership pour la société de l'année dans les produits / services de sécurité Check Point Wins Globee Leadership Award for Company of the Year in Security Products/Services (lien direct) |
> Le point de contrôle est ravi d'être reconnu par les Globee Awards comme 2023 Company of the Year dans les produits / services de sécurité.Les prix du Globee commémorent des réalisations exceptionnelles, des stratégies visionnaires et les équipes derrière les initiatives les plus louables de l'année.Les cyberattaques devenant plus sophistiquées et fréquentes, nous adoptons une approche unique de la cybersécurité en nous concentrant sur les technologies et les plates-formes de construction qui empêchent les attaques et protégeaient les entreprises du plus large éventail de vecteurs d'attaque.La plupart de l'industrie, cependant, se concentre sur la gestion d'une menace rétroactive après sa présence, ce qui est trop tard.Une fois les logiciels malveillants à l'intérieur d'une organisation, cela peut provoquer [& # 8230;]
>Check Point is thrilled to be recognized by the Globee Awards as 2023 Company of the Year in Security Products/Services. The Globee Awards commemorate exceptional accomplishments, visionary strategies, and the teams behind the year\'s most commendable initiatives. With cyberattacks becoming more sophisticated and frequent, we are taking a unique approach to cybersecurity by focusing on building technologies and platforms that prevent the attacks and protect enterprises from the widest spectrum of attack vectors. Most of the industry, however, focuses on handling a threat retroactively after it occurs, which is too late. Once malware is inside an organization, it can cause […] |
Malware Threat | ★★ | |
 |
2023-09-21 12:29:50 | Android Malware à Singapour: 750 victimes, s'élevant à une perte de 10 millions de dollars Android Malware in Singapore: 750 victims, amounting to a loss of $10 million (lien direct) |
Avez-vous déjà pensé que votre téléphone pourrait vous trahir d'une manière qui vous laisse paralysé financièrement?Nous avons tous entendu parler de logiciels malveillants
Ever thought your phone could betray you in a way that leaves you financially crippled? We’ve all heard of malware |
Malware | ★★★ | |
 |
2023-09-21 10:00:49 | Aperçu des menaces IoT en 2023 Overview of IoT threats in 2023 (lien direct) |
Menaces IoT: comment les appareils sont piratés, quel logiciel malveillant est téléchargé et quels services sont proposés sur le Dark Web en 2023.
IoT threats: how devices get hacked, what malware is uploaded, and what services are on offer on the dark web in 2023. |
Malware | ★★ | |
|
2023-09-21 09:38:26 | L'enquête révèle: 50% des répondants sont confrontés à des cyberattaques chaque année - les employeurs blâment les employés Survey Reveals: 50% Of Respondents Face Cyberattacks Yearly - Employers Blame Employees (lien direct) |
Environ 24% des employés n'ont jamais suivi de formation en cybersécurité, selon une nouvelle étude de Nordlocker.Cette enquête a également révélé que, en ce qui concerne la responsabilité des attaques de phishing, des attaques de ransomwares et des infections de logiciels malveillants, les répondants ont indiqué que les entreprises ont fréquemment transféré le blâme sur les employés et ont estimé qu'ils devraient être responsables de ces types de menaces.[& # 8230;]
Around 24% of employees have never had any cybersecurity training, according to a new study by NordLocker. This survey also revealed that when it comes to responsibility for phishing attacks, ransomware attacks, and malware infections, respondents indicated that companies frequently shifted the blame onto employees and felt they should bear accountability for these types of threats. […] |
Ransomware Malware Studies | ★★★★ | |
|
2023-09-21 09:28:00 | Omron Patches Plc, Flaws du logiciel d'ingénierie découvert lors de l'analyse des logiciels malveillants ICS Omron Patches PLC, Engineering Software Flaws Discovered During ICS Malware Analysis (lien direct) |
Omron a corrigé les vulnérabilités de PLC et des logiciels d'ingénierie découvertes par Dragos lors de l'analyse des logiciels malveillants ICS.
Omron has patched PLC and engineering software vulnerabilities discovered by Dragos during the analysis of ICS malware. |
Malware Vulnerability | ★★ | |
|
2023-09-21 07:33:23 | Hiddengh0st malware attaquant les serveurs MS-SQL HiddenGh0st Malware Attacking MS-SQL Servers (lien direct) |
gh0st rat est un logiciel malveillant à distance développé par l'équipe de sécurité de C. Rufus de Chine.Étant donné que son code source est accessible au public, les développeurs de logiciels malveillants l'utilisent comme référence alors qu'ils continuent de développer de nombreuses variantes qui sont encore activement utilisées dans les attaques.Bien que le code source soit public, GH0st Rat est principalement utilisé par les acteurs de la menace basés en Chine.Des cas de rat GH0Stcringe, une variante de rat GH0ST, étant distribués, des serveurs de base de données de ciblage (MS-SQL, serveurs MySQL) ont été divulgués ...
Gh0st RAT is a remote control malware developed by the C. Rufus Security Team from China. Due to its source code being publicly available, malware developers use it as a reference as they continue developing numerous variants that are still actively used in attacks. Although the source code is public, Gh0st RAT is mainly used by threat actors based in China. Cases of Gh0stCringe RAT, a variant of Gh0st RAT, being distributed targeting database servers (MS-SQL, MySQL servers) were disclosed... |
Malware Threat | ★★ | |
|
2023-09-21 05:00:51 | Le retour de la livraison directe des ransomwares? The Return of Direct Ransomware Delivery? (lien direct) |
Si vous avez lu notre guide de survie à Ransomware mis à jour, vous savez déjà que le ransomware moderne est rarement livré directement par e-mail.De nos jours, les gangs de ransomware préfèrent s'associer avec les courtiers d'accès initiaux (IAB).Les IAB fonctionnent en distribuant des logiciels malveillants dans des campagnes à haut volume, puis en vendant un accès à des systèmes compromis.Mais il y a encore des cas de bord où les acteurs de la menace essaient de couper l'intermédiaire et de livrer directement des ransomwares.
Un exemple récent de ceci est Knight ou Knight Lite Ransomware (une version rebaptisée du cyclops ransomware-as-a-Service).En août 2023, les chercheurs de Proofpoint ont vu plusieurs campagnes dans lesquelles Knight a été livré directement par e-mail.Ces campagnes étaient principalement à faible volume, avec moins de 500 messages, bien qu'une campagne en contenait plus de 1 000.Les campagnes ont principalement ciblé les utilisateurs anglophones, mais nous avons également noté des campagnes ciblant les utilisateurs en Italie et en Allemagne dans ces langues.
Un leurre sur le thème de la facture a envoyé une récente campagne Knight.
Les leurres e-mail de ces campagnes ont inclus des faux messages d'un site Web de voyage bien connu destiné aux organisations hôtelières, ainsi qu'à des leurres de facturation plus standard.Les e-mails contiennent une pièce jointe HTML qui charge une interface de navigateur dans le navigateur usurpant le site légitime.Cette interface invite ensuite la victime à cliquer et à télécharger un fichier exécutable ou xll zippé contenant le ransomware.Dans certaines campagnes ultérieures ciblant les utilisateurs italiens, la chaîne d'attaque a été modifiée pour inclure un fichier zip interstitiel contenant soit un LNK reliant à un partage WebDAV ou à un XLL, qui installent tous deux un téléchargeur.Cela installe à son tour la charge utile Knight.Le téléchargeur utilisé dans ces chaînes d'attaque ultérieurs n'a pas été vu auparavant dans nos données, et nos chercheurs enquêtent.Dans toutes les chaînes d'attaque, une fois installées, Knight Ransomware commence un mouvement latéral, en scrutant des adresses IP privées en tant que précurseur pour chiffrer les appareils en réseau.
Les fichiers sont chiffrés par une extension .Knight_L, et une note de rançon est laissée des sommes exigeantes allant de 5 000 $ à 15 000 $ en Bitcoin.L'acteur de menace fournit un lien vers un site contenant des instructions supplémentaires et une adresse e-mail pour les informer lorsqu'un paiement a été effectué.Actuellement, il n'y a rien pour indiquer que les données sont exfiltrées et chiffrées.
Capture d'écran de la page Web Knight Ransomware Tor.
Le paysage des menaces a considérablement changé depuis l'époque des campagnes de ransomwares à volume à volume élevé.En fait, les campagnes de Knight récentes sont la première fois depuis 2021 que les chercheurs à preuves ont vu la livraison de ransomwares par courriel dans les semaines consécutives en utilisant les mêmes caractéristiques de la campagne.Mais avec une perturbation récente dans le botnet de logiciel malveillant à grande échelle QBOT-A à grande échelle couramment utilisé par de nombreux attaquants IABS-Ransomware peuvent décider de revoir ces méthodes de livraison.
Pour plus d'informations sur le paysage des ransomwares en développement, consultez le Guide de survie des ransomwares et abonnez-vous à notre blog de menace.
If you\'ve read our updated Ransomware Survival Guide, you already know that modern ransomware is rarely delivered directly by email. These days, ransomware gangs prefer to partner with initial access brokers (IABs). IABs operate by distributing malware in high volume campaigns and then selling access to compromised systems. But there are still some edge cases where threat actors try to cut out the middleman and deliver ransomware directly. A recent example of this is Knight or Knight Li |
Ransomware Malware Threat | ★★ | |
 |
2023-09-21 03:15:00 | Comment la sécurité du réseau peut économiser des dollars de sécurité How network security can save security dollars (lien direct) |
Au cours des douze dernières années, 100% des DSI ont déclaré qu'ils s'attendaient à dépenser plus pour la sécurité informatique, faisant de la sécurité la seule catégorie qui continue à absorber l'investissement.Chaque année au cours des trois dernières années, plus de 80% des entreprises ont déclaré que leur sécurité informatique avait encore besoin d'amélioration.Donc, comme la mort et les impôts, la croissance des dépenses de sécurité est-elle inévitable?Si nous restons sur le chemin que nous l'avons fait, il y a certainement l'air.Mais qu'est-ce qui pourrait changer? Laissez \\ commencer par ce qui est important pour les utilisateurs.Les menaces externes, ce qui signifie le piratage, sont un problème pour chaque CIO.Les menaces internes, des employés mal en train de se comporter, sont un problème pour trois sur quatre.Le vol de données est une peur universelle, et les logiciels malveillants qui interfèrent avec les applications et les opérations sont un problème important pour plus de 90% des DSI.En ce qui concerne les approches ou les cibles, selon 100%, la sécurité d'accès sur les applications et les données est essentielle, tout comme la numérisation régulière des logiciels malveillants.Si vous demandez aux DSI de choisir une seule chose qu'ils pensent être essentielle pour la sécurité informatique, la sécurité d'accès de \\. Pour lire cet article en entier, veuillez cliquer ici
For the last twelve years, 100% of CIOs have said that they expect to spend more on IT security, making security the only category that just keeps on absorbing investment. Every year in the last three years, over 80% of enterprises have said that their IT security still needed improvement. So, like death and taxes, is security spending growth inevitable? If we keep on the way we have, it sure seems like it. But what might change?Let\'s start with what\'s important to users. External threats, meaning hacking, are a problem for every CIO. Internal threats, from badly behaving employees, are a problem for three out of four. Data theft is a universal fear, and malware that interferes with applications and operations is an important problem for over 90% of CIOs. As far as approaches or targets are concerned, 100% say access security on applications and data is essential and so is regular malware scanning. If you ask CIOs to pick a single thing they think is essential for IT security, it\'s access security.To read this article in full, please click here |
Malware | ★★ | |
 |
2023-09-21 03:03:58 | Comprendre les attaques de forfait malveillant et les stratégies de défense pour une cybersécurité robuste Understanding Malicious Package Attacks and Defense Strategies for Robust Cybersecurity (lien direct) |
Les packages malveillants sont constitués de logiciels intégrés avec du code capable de nuire à un système ou un réseau entier.Il s'agit d'une menace en croissance rapide affectant les logiciels open source et la chaîne d'approvisionnement des logiciels.Cette méthode d'attaque a vu une augmentation de près de 12 000% de 2022 à 2023, comme l'a rapporté Synk.Certaines raisons incluent sa faisabilité technique, le potentiel de rendements élevés et la distribution généralisée des offres open source, les types courants de packages malveillants comprennent: les fichiers d'installation d'application Windows .exe qui installent des logiciels malveillants au lieu de l'application prévue ....
Malicious packages consist of software embedded with code that is capable of causing harm to an entire system or network . This is a rapidly growing threat affecting open-source software and the software supply chain. This attack method has seen a nearly 12,000% increase from 2022 to 2023, as reported by Synk . Some reasons include its technical feasibility, the potential for high returns, and the widespread distribution of open-source offerings, Common types of malicious packages encompass: Windows .exe application installation files that install malware instead of the intended application.... |
Malware Threat | ★★ | |
|
2023-09-20 20:09:00 | Fake Winrar POC Exploit cache Venomrat malware Fake WinRAR PoC Exploit Conceals VenomRAT Malware (lien direct) |
Un exploit supposé pour une vulnérabilité RCE notable dans le populaire utilitaire d'archivage de fichiers Windows offre une grosse piqûre pour les chercheurs involontaires et les cybercriminels.
A supposed exploit for a notable RCE vulnerability in the popular Windows file-archiving utility delivers a big sting for unwitting researchers and cybercriminals. |
Malware Vulnerability | ★ | |
|
2023-09-20 20:08:00 | FBI, CISA Numéro de l'avertissement conjoint sur \\ 'Snatch \\' ransomware-as-a-Service FBI, CISA Issue Joint Warning on \\'Snatch\\' Ransomware-as-a-Service (lien direct) |
L'utilisation de logiciels malveillants du groupe qui oblige les ordinateurs Windows à redémarrer en mode sans échec avant de chiffrer les fichiers est remarquable, dit Advisory.
The group\'s use of malware that forces Windows computers to reboot into Safe Mode before encrypting files is noteworthy, advisory says. |
Malware | ★★ | |
|
2023-09-20 18:08:26 | L'activité de botnet P2Pinfect augmente 600x avec des variantes de logiciels malveillants plus furtifs P2PInfect botnet activity surges 600x with stealthier malware variants (lien direct) |
Le ver botnet p2pinfect traverse une période de volumes d'activité très élevés à partir de fin août, puis reprend en septembre 2023. [...]
The P2PInfect botnet worm is going through a period of highly elevated activity volumes starting in late August and then picking up again in September 2023. [...] |
Malware | ★★ | |
|
2023-09-20 17:28:26 | Rapport: L'augmentation des logiciels malveillants en chinois pourrait être défier \\ 'Dominance russe de la cybercriminalité Report: Increase in Chinese-Language Malware Could \\'Challenge\\' Russian Dominance of Cybercrime (lien direct) |
Le ver botnet p2pinfect traverse une période de volumes d'activité très élevés à partir de fin août, puis reprend en septembre 2023. [...]
The P2PInfect botnet worm is going through a period of highly elevated activity volumes starting in late August and then picking up again in September 2023. [...] |
Malware | ★★ | |
|
2023-09-20 15:26:00 | Campagne de phishing sophistiquée ciblant les utilisateurs chinois avec Valleyrat et Gh0st Rat Sophisticated Phishing Campaign Targeting Chinese Users with ValleyRAT and Gh0st RAT (lien direct) |
Les orateurs de langue chinoise ont été de plus en plus ciblés dans le cadre de multiples campagnes de phishing par e-mail qui visent à distribuer diverses familles de logiciels malveillants tels que Sainbox Rat, Purple Fox et un nouveau troyen appelé Valleyrat.
"Les campagnes comprennent les leurres de langue chinoise et les logiciels malveillants généralement associés à l'activité de cybercriminalité chinoise", a déclaré la société de sécurité d'entreprise, a déclaré dans un rapport partagé avec le
Chinese-language speakers have been increasingly targeted as part of multiple email phishing campaigns that aim to distribute various malware families such as Sainbox RAT, Purple Fox, and a new trojan called ValleyRAT. "Campaigns include Chinese-language lures and malware typically associated with Chinese cybercrime activity," enterprise security firm Proofpoint said in a report shared with The |
Malware | ★★ | |
|
2023-09-20 15:02:03 | Téléchargement gratuit de la publication du Script pour vérifier les logiciels malveillants Linux Free Download Manager releases script to check for Linux malware (lien direct) |
Les développeurs de Free Download Manager (FDM) ont publié un script pour vérifier si un appareil Linux a été infecté par une attaque de chaîne d'approvisionnement récemment signalée.[...]
The developers of Free Download Manager (FDM) have published a script to check if a Linux device was infected through a recently reported supply chain attack. [...] |
Malware | ★★ | |
|
2023-09-20 14:00:08 | \\ 'Culturestreak \\' Malware se cache dans le package Gitlab Python \\'Culturestreak\\' Malware Lurks Inside GitLab Python Package (lien direct) |
Le code GitLab détourne les ressources informatiques pour exploiter la crypto-monnaie Dero dans le cadre d'une plus grande opération de cryptomine.
The GitLab code hijacks computer resources to mine Dero cryptocurrency as part of a larger cryptomining operation. |
Malware Threat | ★★ | |
|
2023-09-20 13:45:57 | Un nouveau pic de logiciels malveillants des cybercriminels chinois inonde le paysage des menaces & # 8211;Recherche de point de preuve New Spike in Malware from Chinese Cybercriminals Floods the Threat Landscape – Proofpoint Research (lien direct) |
Nouveau pic dans les logiciels malveillants des cybercriminels chinois inonde le paysage des menaces & # 8211;Research Pointpoint
-
malwares
New Spike in Malware from Chinese Cybercriminals Floods the Threat Landscape – Proofpoint Research - Malwares |
Malware Threat | ★★ | |
|
2023-09-20 12:47:56 | Check Point Research expose de nouvelles versions du malware bancaire BBTOK, qui cible les clients de plus de 40 banques mexicaines et brésiliennes Check Point Research exposes new versions of the BBTok banking malware, which targets clients of over 40 Mexican and Brazilian banks (lien direct) |
> Faits saillants: Check Point Research (RCR) a récemment découvert une campagne active déploiement d'une nouvelle variante du malware bancaire BBTOK en Amérique latine exposée à l'origine en 2020, la variante nouvellement découverte du malware reproduit les interfaces de plus de 40 mexicains et brésiliensLes banques, et trompe les victimes infectées pour entrer dans leur code 2FA sur leurs comptes bancaires ou entrer dans leur numéro de carte de paiement au cours du temps, les cybercriminels derrière les logiciels malveillants maintiennent activement des chaînes d'infection diversifiées pour différentes versions de Windows.Ces chaînes utilisent une grande variété de types de fichiers, notamment ISO, ZIP, LNK, DOCX, JS et XLL [& # 8230;]
>Highlights: Check Point Research (CPR) recently discovered an active campaign deploying a new variant of the BBTok banking malware in Latin America Originally exposed in 2020, the newly discovered variant of the malware replicates the interfaces of over 40 Mexican and Brazilian banks, and tricks the infected victims into entering their 2FA code to their bank accounts or into entering their payment card number Over the time, the cybercriminals behind the malware are actively maintaining diversified infection chains for different versions of Windows. Those chains employ a wide variety of file types, including ISO, ZIP, LNK, DOCX, JS and XLL […] |
Malware | ★★ | |
|
2023-09-20 10:49:34 | Fake Winrar Proof-of-Concept Exploit Drops Venomrat malware (lien direct) | Un pirate diffuse un faux exploit de preuve de concept (POC) pour une vulnérabilité Winrar récemment fixe sur GitHub, essayant d'infecter les téléchargeurs avec le malware Venomrat.[...]
A hacker is spreading a fake proof-of-concept (PoC) exploit for a recently fixed WinRAR vulnerability on GitHub, attempting to infect downloaders with the VenomRAT malware. [...] |
Malware Vulnerability Threat | ★★★ | |
|
2023-09-20 05:00:00 | Les logiciels malveillants chinois apparaissent sérieusement dans le paysage des menaces de cybercriminalité Chinese Malware Appears in Earnest Across Cybercrime Threat Landscape (lien direct) |
Key Takeaways Proofpoint has observed an increase in activity from specific malware families targeting Chinese-language speakers. Campaigns include Chinese-language lures and malware typically associated with Chinese cybercrime activity. Newly observed ValleyRAT is emerging as a new malware among Chinese-themed cybercrime activity, while Sainbox RAT and related variants are recently active as well. The increase in Chinese language malware activity indicates an expansion of the Chinese malware ecosystem, either through increased availability or ease of access to payloads and target lists, as well as potentially increased activity by Chinese speaking cybercrime operators. Overview Since early 2023, Proofpoint observed an increase in the email distribution of malware associated with suspected Chinese cybercrime activity. This includes the attempted delivery of the Sainbox Remote Access Trojan (RAT) – a variant of the commodity trojan Gh0stRAT – and the newly identified ValleyRAT malware. After years of this malware not appearing in Proofpoint threat data, its appearance in multiple campaigns over the last six months is notable. The phrase “Chinese-themed” is used to describe any of the observed content related to this malicious activity, including lures, malware, targeting, and any metadata that contains Chinese language usage. Campaigns are generally low-volume and are typically sent to global organizations with operations in China. The email subjects and content are usually written in Chinese, and are typically related to business themes like invoices, payments, and new products. The targeted users have Chinese-language names spelled with Chinese-language characters, or specific company email addresses that appear to align with businesses\' operations in China. Although most campaigns have targeted Chinese speaking users, Proofpoint observed one campaign targeting Japanese organizations, suggesting a potential expansion of activity. These recently identified activity clusters have demonstrated flexible delivery methods, leveraging both simple and moderately complex techniques. Commonly, the emails contain URLs linking to compressed executables that are responsible for installing the malware. However, Proofpoint has also observed Sainbox RAT and ValleyRAT delivered via Excel and PDF attachments containing URLs linking to compressed executables. Proofpoint researchers assess those multiple campaigns delivering Sainbox RAT and ValleyRAT contain some similar tactics, techniques, and procedures (TTPs). However, research into additional activity clusters utilizing these malwares demonstrate enough variety in infrastructure, sender domains, email content, targeting, and payloads that researchers currently conclude that all use of these malwares and associated campaigns are not attributable to the same cluster, but likely multiple distinct activity sets. The emergence and uptick of both novel and older Chinese-themed malware demonstrates a new trend in the overall 2023 threat landscape. A blend of historic malware such as Sainbox – a variant of the older Gh0stRAT malware – and the newly uncovered ValleyRAT may challenge the dominance that the Russian-speaking cybercrime market has on the threat landscape. However, the Chinese-themed malware is currently mostly targeted toward users that likely speak Chinese. Proofpoint continues to monitor for evidence of increasing adoption across other languages. For network defenders, we include several indicators of compromise and Emerging Threats detections to provide the community with the ability to cover these threats. Campaign Details Proofpoint has observed over 30 campaigns in 2023 leveraging malware typically associated with Chinese cybercrime activity. Nearly all lures are in Chinese, although Proofpoint has also observed messages in Japanese targeting organizations in that country. Gh0stRAT / Sainbox Proofpoint has observed an increase in a variant of Gh0stRAT Proofpoint researchers refer to as Sainbox. Sainbox was first i | Malware Tool Threat Prediction | ★★★ |
To see everything:
Our RSS (filtrered)
