What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-26 20:11:18 | Fakeupdateru Chrome Update Infection Spreads Trojan Malware (lien direct) | #### Description
SUCURI rapporte une nouvelle variante du faux logiciel malveillant de mise à jour Google Chrome, surnommé "Fakeupdateu".Le malware informe les utilisateurs de téléchargement de ce qui semble être une mise à jour de leur navigateur Chrome, mais est en fait un cheval de Troie à distance (RAT).Le malware écrase le fichier principal index.php pour le thème actif sur le site Web, affectant les sites Web WordPress et autres plates-formes CMS.La page de mise à jour de la mise à jour du navigateur Bogus Chrome ressemble à la page de téléchargement officielle de Google Chrome, mais les acteurs ont légèrement modifié la page d'origine.La charge utile malware est hébergée sur d'autres sites Web piratés, probablement complètement inconnus des propriétaires de sites Web.
#### URL de référence (s)
1. https://blog.sucuri.net/2023/10/fakeupdateru-prome-update-infection-spreads-trojan-malware.html
#### Date de publication
25 octobre 2023
#### Auteurs)
Ben Martin
#### Description Sucuri reports a new variant of the Fake Google Chrome update malware, nicknamed "FakeUpdateRU". The malware tricks users into downloading what appears to be an update to their Chrome browser, but is actually a remote access trojan (RAT). The malware overwrites the main index.php file for the active theme on the website, affecting WordPress websites and other CMS platforms. The bogus Chrome browser update landing page looks like the official Google Chrome download page, but the actors slightly modified the original page. The malware payload is hosted on other hacked websites, likely completely unknown to the website owners. #### Reference URL(s) 1. https://blog.sucuri.net/2023/10/fakeupdateru-chrome-update-infection-spreads-trojan-malware.html #### Publication Date October 25, 2023 #### Author(s) Ben Martin |
Malware | ★★★ | |
|
2023-10-25 19:25:25 | Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers (lien direct) | #### Description
ESET Research découvre des campagnes par le groupe Winter Vivern APT qui exploite une vulnérabilité XSS zéro-jour dans le serveur de la carte Web Roundcube et cible les entités gouvernementales et un groupe de réflexion en Europe.Pour compromettre ses objectifs, le groupe utilise des documents malveillants, des sites Web de phishing et une porte dérobée PowerShell personnalisée.L'exploitation de la vulnérabilité XSS, attribuée CVE-2023-5631, peut se faire à distance en envoyant un e-mail spécialement conçu.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploitts-zero-ay-vulnerabilité-loundcube-webmail-servers/
#### Date de publication
25 octobre 2023
#### Auteurs)
Matthieu faou
#### Description ESET Research discover campaigns by the Winter Vivern APT group that exploit a zero-day XSS vulnerability in the Roundcube Webmail server and target governmental entities and a think tank in Europe. To compromise its targets, the group uses malicious documents, phishing websites, and a custom PowerShell backdoor. Exploitation of the XSS vulnerability, assigned CVE-2023-5631, can be done remotely by sending a specially crafted email message. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/ #### Publication Date October 25, 2023 #### Author(s) Matthieu Faou |
Vulnerability Threat | ★★★ | |
|
2023-10-24 19:50:31 | Technique de téléchargement à double DLL de Quasar Rat \\ Quasar RAT\\'s Dual DLL Sideloading Technique (lien direct) |
#### Description
Quasarrat, également connu sous le nom de Cinarat ou Yggdrasil, est un outil d'administration à distance léger écrit en C #.Cet outil est ouvertement accessible en tant que projet GitHub.Cet outil est capable de diverses fonctions telles que la collecte de données système, l'exécution d'applications, le transfert de fichiers, l'enregistrement des touches, la prise de captures d'écran ou les captures de caméra, la récupération de mots de passe du système et la supervision des opérations comme le gestionnaire de fichiers, le gestionnaire de startup, le bureau distant et l'exécution de commandes de shell.
Dans la phase initiale, l'attaquant exploite "ctfmon.exe", qui est un fichier Microsoft authentique.Ce faisant, ils chargent une DLL malveillante qui, à l'œil non formé, semblerait bénin en raison de son nom déguisé.Lors de l'exécution du binaire "ctfmon.exe", l'étape est définie lorsque l'attaquant acquiert une charge utile de stade 1 \\ '.Cette charge utile initiale est cruciale, agissant comme la passerelle pour les actions malveillantes suivantes.À ce stade, l'acteur de menace met en jeu le fichier "calcc.exe" qui, dans ce contexte, n'est pas juste une application de calculatrice simple.Parallèlement à "Calc.exe", la DLL malveillante est également mise en mouvement.Lors de l'exécution de «calcc.exe», la DLL malveillante est déclenchée.Cette action se termine dans l'infiltration de la charge utile "quasarrat" dans la mémoire de l'ordinateur, reflétant la sensibilité de l'attaquant à contourner les mécanismes de sécurité.
#### URL de référence (s)
1.Hets: //www.uptcs.kum/blag/koker-rut
#### Date de publication
Octobre ౨౪, ౨౦౨౩
#### థ థ థ థ థ థ థ థ థ థ థ థ థ థ
Tejaswini Sandapolla
#### Description QuasarRAT, also known as CinaRAT or Yggdrasil, is a lightweight remote administration tool written in C#. This tool is openly accessible as a GitHub project. This tool is capable of various functions such as gathering system data, running applications, transferring files, recording keystrokes, taking screenshots or camera captures, recovering system passwords, and overseeing operations like File Manager, Startup Manager, Remote Desktop, and executing shell commands. In the initial phase, the attacker harnesses "ctfmon.exe," which is an authentic Microsoft file. By doing so, they load a malicious DLL which, to the untrained eye, would seem benign because of its disguised name. Upon execution of the "ctfmon.exe" binary, the stage is set as the attacker acquires a \'stage 1\' payload. This initial payload is crucial, acting as the gateway for the subsequent malicious actions. At this juncture, the threat actor brings into play the "calc.exe" file, which in this context, isn\'t just a simple calculator application. Alongside "calc.exe," the malicious DLL is also set into motion. On executing "calc.exe," the malicious DLL is triggered. This action culminates in the infiltration of the "QuasarRAT" payload into the computer\'s memory, reflecting the attacker\'s adeptness at circumventing security mechanisms. #### Reference URL(s) 1. https://www.uptycs.com/blog/quasar-rat #### Publication Date October 24, 2023 #### Author(s) Tejaswini Sandapolla |
Tool Threat | ★★★ | |
|
2023-10-23 19:58:03 | Organisations attaquées par Cryptominer-KeyLogger-Backdoor Combo Organizations Under Attack from Cryptominer-Keylogger-Backdoor Combo (lien direct) |
#### Description
Les chercheurs de Kaspersky ont découvert une campagne qui cible le gouvernement, l'application des lois et les organisations à but non lucratif.Les attaquants téléchargent des scripts sur les appareils victimes, offrant plusieurs types de logiciels malveillants à la fois.L'objectif principal est d'utiliser les ressources de l'entreprise pour l'exploitation minière, de voler des données à l'aide de KeyLoggers et d'obtenir un accès de porte dérobée aux systèmes.
Selon les données de télémétrie de Kasperky \\, ils ont détecté de nombreux scripts, exécutables et liens associés sous cette campagne depuis la fin 2022.
#### URL de référence (s)
1. https://seecurelist.com/min-keylogger-backdoor-attack-b2b/110761/
#### Date de publication
19 octobre 2023
#### Auteurs)
Vasily Kolesnikov
#### Description Kaspersky researchers have discovered a campaign that targets government, law enforcement, and non-profit organizations. Attackers download scripts onto victims\' devices, delivering several types of malware all at once. The main aim is to utilize company resources for mining, steal data using keyloggers, and gain backdoor access to systems. According to Kasperky\'s telemetry data, they have detected numerous scripts, executables, and associated links under this campaign since late 2022. #### Reference URL(s) 1. https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/ #### Publication Date October 19, 2023 #### Author(s) Vasily Kolesnikov |
Malware | ★★★ | |
|
2023-10-20 18:49:47 | Des acteurs soutenus par le gouvernement exploitant la vulnérabilité de Winrar Government-Backed Actors Exploiting WinRAR Vulnerability (lien direct) |
#### Description
Au cours des dernières semaines, les menaces de Google \'s Menace Analysis Group \'s (TAG) ont observé plusieurs groupes de piratage soutenus par le gouvernement exploitant la vulnérabilité connue, CVE-2023-38831, dans Winrar, qui est un outil de fichiers populaire pour Windows.Un correctif est maintenant disponible, mais de nombreux utilisateurs semblent toujours vulnérables.Tag a observé des acteurs soutenus par le gouvernement d'un certain nombre de pays exploitant la vulnérabilité Winrar dans le cadre de leurs opérations.
Le CVE-2023-38831 est une vulnérabilité logique dans Winrar provoquant une expansion temporaire étrangère lors du traitement des archives fabriquées, combinées à une bizarrerie dans l'implémentation de Windows \\ 'Shellexcucute lors de la tentative d'ouvrir un fichier avec une extension contenant des espaces.La vulnérabilité permet aux attaquants d'exécuter du code arbitraire lorsqu'un utilisateur tente d'afficher un fichier bénin (comme un fichier PNG ordinaire) dans une archive zip.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/government-backed-actors-expoiting-winrar-vulnerabilité/
2. https://ti.defender.microsoft.com/cves/cve-2023-38831
3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description
#### Date de publication
18 octobre 2023
#### Auteurs)
Kate Morgan
#### Description In recent weeks, Google\'s Threat Analysis Group\'s (TAG) has observed multiple government-backed hacking groups exploiting the known vulnerability, CVE-2023-38831, in WinRAR, which is a popular file archiver tool for Windows. A patch is now available, but many users still seem to be vulnerable. TAG has observed government-backed actors from a number of countries exploiting the WinRAR vulnerability as part of their operations. CVE-2023-38831 is a logical vulnerability within WinRAR causing extraneous temporary file expansion when processing crafted archives, combined with a quirk in the implementation of Windows\' ShellExecute when attempting to open a file with an extension containing spaces. The vulnerability allows attackers to execute arbitrary code when a user attempts to view a benign file (such as an ordinary PNG file) within a ZIP archive. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/ 2. https://ti.defender.microsoft.com/cves/CVE-2023-38831 3. https://ti.defender.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb/description #### Publication Date October 18, 2023 #### Author(s) Kate Morgan |
Tool Vulnerability Threat | ★★★ |
To see everything:
Our RSS (filtrered)
