What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
The_Hackers_News.webp 2024-05-23 22:33:00 Les attaques de ransomware exploitent les vulnérabilités VMware Esxi dans le modèle alarmant
Ransomware Attacks Exploit VMware ESXi Vulnerabilities in Alarming Pattern (lien direct)		 Ransomware attaque le ciblage de l'infrastructure VMware ESXi & nbsp; suivi & nbsp; un modèle établi, indépendamment du déploiement de logiciels malveillants qui résidait au fichier. "Les plates-formes de virtualisation sont une composante essentielle de l'infrastructure informatique organisationnelle, mais elles souffrent souvent de erreurs de configuration et de vulnérations inhérentes, ce qui en fait un objectif lucratif et très efficace pour les acteurs de menace à abuser", "
Ransomware attacks targeting VMware ESXi infrastructure following an established pattern regardless of the file-encrypting malware deployed. "Virtualization platforms are a core component of organizational IT infrastructure, yet they often suffer from inherent misconfigurations and vulnerabilities, making them a lucrative and highly effective target for threat actors to abuse,"		 Threat Ransomware Malware Vulnerability
Netskope.webp 2024-05-23 13:00:00 Phishing avec les travailleurs de Cloudflare: phishing transparent et contrebande de HTML
Phishing with Cloudflare Workers: Transparent Phishing and HTML Smuggling (lien direct)		 > Résumé Netskope Threat Labs suit plusieurs campagnes de phishing qui abusent des travailleurs de CloudFlare.Les campagnes sont probablement le travail de différents attaquants car ils utilisent deux techniques très différentes.Une campagne (similaire à la campagne Azorult précédemment divulguée) utilise HTML debout, une technique d'évasion de détection souvent utilisée pour télécharger des logiciels malveillants, pour masquer le contenu de phishing [& # 8230;]
>Summary Netskope Threat Labs is tracking multiple phishing campaigns that abuse Cloudflare Workers. The campaigns are likely the work of different attackers since they use two very different techniques. One campaign (similar to the previously disclosed Azorult campaign) uses HTML smuggling, a detection evasion technique often used for downloading malware, to hide the phishing content […] 		Threat Malware ★★★
DarkReading.webp 2024-05-23 10:00:00 La Chine APT a volé des secrets géopolitiques du Moyen-Orient, Afrique et amp; AMP;Asie
China APT Stole Geopolitical Secrets From Middle East, Africa & Asia (lien direct)		 L'une des plus grandes opérations d'espionnage de la Chine doit son succès aux bogues de longue date de Microsoft Exchange, aux outils open source et aux vieux logiciels malveillants.
One of China's biggest espionage operations owes its success to longstanding Microsoft Exchange bugs, open source tools, and old malware.		 Malware Tool ★★★
ProofPoint.webp 2024-05-23 08:02:17 Proofpoint vs sécurité anormale: une entreprise Fortune 500 explique pourquoi on est meilleur
Proofpoint vs. Abnormal Security: A Fortune 500 Company Explains Why One Is Better (lien direct)		 Businesses that choose Proofpoint tend to stay with us. In fact, while many start by using our email threat detection tools, over time they often consolidate their other cybersecurity tools with us. They end up using Proofpoint for their other attack surfaces, like identity threats and information protection.   But what happens if they\'re forced to adopt Abnormal Security by senior management? That\'s what happened to the Fortune 500 financial services corporation discussed in this blog post. They wanted to share their story but requested anonymity. As a customer of both Proofpoint and Abnormal, they have some key insights about what makes Proofpoint stand out from the competition.  A defense-in-depth approach   An existing Microsoft 365 E5 customer, the company deployed a defense-in-depth security approach because the native and Microsoft Defender email security capabilities were not good enough to detect and block phishing, malware and ransomware. They also used CrowdStrike and complemented these tools with Proofpoint Threat Protection. Proofpoint ensured that they could detect and block more sophisticated email threats like:  Socially engineered attacks  Business email compromise (BEC)  Advanced credential phishing  By combining Microsoft, Proofpoint and CrowdStrike, the customer had powerful email security. It could detect and block email threats and automate remediation across its offices worldwide. And it had a strong continuous detection model (predelivery, post-delivery and click-time) throughout its entire email delivery flow. End-to-end protection is why 87% of Fortune 100 companies trust Proofpoint to protect their people and business.   Because the customer\'s senior executive management team truly believed in the defense-in-depth approach, it decided to add Abnormal Security as an additional layer of defense. Abnormal is an API-based, post-delivery, remediation-only tool that\'s positioned as easy to use. Featuring behavioral AI, it\'s sold as a “set it and forget it” tool that can detect and remediate email threats faster while improving operational efficiency.   The company soon integrated Abnormal with its existing Microsoft 365 APIs so that Abnormal could receive emails from Microsoft. At the same time, the customer deactivated automated remediation in Proofpoint Threat Response Auto-Pull. The Abnormal tool was now in charge of analyzing emails post-delivery.  “We were told it would be \'set it and forget it\' with Abnormal but found it couldn\'t be further from the truth.”           - IT director, data security, Fortune 500 financial services company  A head-to-head comparison: Proofpoint vs. Abnormal  Once they started using Abnormal, the cybersecurity team watched what it could do and assessed how the company\'s new defense-in-depth approach was going. Here\'s what they observed.  Predelivery efficacy: Proofpoint wins   Unlike Proofpoint, Abnormal does not provide any predelivery detection or analysis capabilities; it has a 0% predelivery efficacy rate. Compare that to Proofpoint predelivery detection, which stops known and emerging threats before they are delivered to users\' inboxes. This prevents users from engaging with threats and reduces the downstream burden on security teams.   Proofpoint uses a multilayered detection stack to accurately identify and catch the widest array of threats. Our broad set of detection technology means that we can apply the right technique for the right threat. This includes QR code scams, URL-based threats and BEC attacks.   By combining our existing attachment defense with our new predelivery hold and sandboxing of suspicious messages with URLs, Proofpoint ensures that fewer malicious URLs and dangerous payloads are delivered to users\' inboxes. This includes QR codes or any malicious files that are attached to emails. And thanks to our new predelivery large language model (L Threat Ransomware Malware Tool ★★★
RiskIQ.webp 2024-05-22 20:16:56 UAC-0006 Cyberattaques augmentées
UAC-0006 Increased Cyberattacks (lien direct)		 ## Instantané L'équipe gouvernementale de réponse d'urgence informatique de l'Ukraine (CER-UA) a observé une activité accrue d'un acteur de menace financièrement déplacé qu'ils suivent en tant que UAC-0006.Depuis le 20 mai 2024, le groupe a mené au moins deux campagnes de distribution de logiciels malveillants distinctes. ## Description CERT-UA rapporte que ces campagnes distribuent un malware SmokeLoader via des e-mails de phishing.Ces e-mails contiennent des archives zip avec des fichiers malveillants, y compris des fichiers .IMG avec des fichiers exécutables (.exe) et des documents Microsoft Access (.ACCDB) avec des macros intégrés.Ces macros exécutent des commandes PowerShell pour télécharger et exécuter les fichiers exécutables. Après le compromis initial du système, des logiciels malveillants supplémentaires tels que TALESHOT et RMS sont téléchargés et installés.Actuellement, le botnet comprend plusieurs centaines d'ordinateurs infectés.À la suite de cette activité accrue, CERT-UA s'attend à une augmentation des régimes de fraude ciblant les systèmes bancaires à distance dans un avenir proche. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [* Trojan: Win32 / SmokeLoader *] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-Description?name=trojan:win32/SmokeLoader&threatid=-2147238753) - * [Trojan: win64 / smokeloader] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/smokeloader& ;threatid=-2147113809) * ## Les références [UAC-0006 Cyberattaques augmentées] (https://cert.gov.ua/article/6279366).Équipe d'intervention d'urgence informatique d'Ukraine (consultée en 2024-05-22)
## Snapshot The Governmental Computer Emergency Reponse Team of Ukraine (CERT-UA) has observed increased activity from a financially movtivated threat actor they track as UAC-0006. Since May 20, 2024, the group has conducted at least two distinct malware distribution campaigns. ## Description CERT-UA reports that these campaigns are distributing SmokeLoader malware via phishing emails. These emails contain ZIP archives with malicious files, including .IMG files with executable (.exe) files and Microsoft Access (.ACCDB) documents with embedded macros. These macros execute PowerShell commands to download and run the executable files. After initial system compromise, additional malware such as Taleshot and RMS are downloaded and installed. Currently, the botnet comprises several hundred infected computers. As a result of this increased activity, CERT-UA expects an increase in fraud schemes targeting remote banking systems in the near future. ## Detections **Microsoft Defender Antivirus** Microsoft Defender Antivirus detects threat components as the following malware: - [*Trojan:Win32/SmokeLoader*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/SmokeLoader&threatId=-2147238753) - *[Trojan:Win64/Smokeloader](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Smokeloader&threatId=-2147113809)* ## References [UAC-0006 Increased Cyberattacks](https://cert.gov.ua/article/6279366). Computer Emergency Response Team of Ukraine (accessed 2024-05-22)		 Threat Malware ★★★
RiskIQ.webp 2024-05-22 16:31:26 Grandoreiro Banking Trojan Resurfaces dans Global Campaign
Grandoreiro Banking Trojan Resurfaces in Global Campaign (lien direct)		 ## Instantané Depuis mars 2024, IBM X-Force a suivi des campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, considéré comme un logiciel malveillant en tant que service (MAAS). Lisez la rédaction de Microsoft \\ sur Grandoreiro [ici] (https://security.microsoft.com/intel-explorer/articles/f07d1d16). ## Description Grandoreiro a connu des mises à jour importantes, notamment le décryptage amélioré des chaînes et un nouvel algorithme générateur de domaine (DGA).Le malware exploite également les clients Microsoft Outlook sur les hôtes infectés pour diffuser des e-mails de phishing. Historiquement, les campagnes ont été principalement limitées à l'Amérique latine, à l'Espagne et au Portugal.Mais la dernière variante est conçue pour cibler spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de commettre une fraude bancaire dans plus de 60 pays, élargissant la portée du malware à des régions comme l'Amérique centrale et du Sud, l'Afrique, l'Europe et l'Indo-Pacifique.Selon IBM, les logiciels malveillants évolués et le ciblage élargi peuvent être en réponse à des mesures d'application de la loi contre Grandoreiro.  La chaîne d'infection de Grandoreiro \\ commence par un chargeur personnalisé, qui vérifie si la victime est une cible légitime et non un chercheur ou dans un bac à sable.Il rassemble des données de base de la victime, l'envoie au serveur de commandement et de contrôle (C2) et télécharge le Trojan.La variante récente du Malware \\ comprend un mécanisme de décryptage de chaîne retravaillé, en utilisant un processus complexe et en plusieurs étapes impliquant le cryptage Base64 et AES. Le Troie profil les victimes pour adapter les attaques, ciblant des applications bancaires spécifiques et des portefeuilles de crypto-monnaie.Son algorithme DGA avancé génère plusieurs domaines C2 quotidiennement, améliorant sa résilience.Grandoreiro peut exécuter un large éventail de commandes, de la télécommande et de la gestion des fichiers aux campagnes de spam de keylogging et d'Outlook.Cette capacité à envoyer des e-mails de phishing des clients Infected Outlook contribue à sa propagation. ## Microsoft Intelligence En plus de suivre l'activité de Grandoreiro en Europe, en Afrique et en Amérique latine, Microsoft Threat Intelligence a observé un ciblage de Grandoreiro aux États-Unis.  ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - * [Trojanspy: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojanspy:win32/grandoreiro& ;TheRatid=-2147235291) * - * [Trojan: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Grandoreiro.MBJr!Mtb& ;heterid=-2147060695) * - * [Trojandownloader: VBS / Grandoreiro] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-Description?name=trojandownOader:win32/grandoreiro.zy!SMS& ;Thereatid=-2147059024) * - * [Trojan: Win64 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win64/grandoreiro.psye!mtb& ;theatid=-2147128454)* - * [Comportement: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/grandoreiro.f & menaceId = -2147139055) * - * [Spyware: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-dercription?naME = Spyware: Win32 / Grandoreiro! Mclg & menaceID = 325649) * ** Microsoft Defender pour le point de terminaison ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Grandoreiro * ## Recommandations Microsoft recommande les atténuations sui Threat Spam Malware Tool Legislation ★★
RiskIQ.webp 2024-05-22 15:21:21 Bad Karma, No Justice: Void Manticore Destructive Activities in Israel (lien direct) #### Géolocations ciblées - Israël ## Instantané Check Point Research a publié une analyse de l'acteur de menace iranien Void Manticore, l'acteur Microsoft suit en tant que Storm-0842.Affilié au ministère des Intelligences et de la Sécurité (MOIS), le vide Manticore effectue des attaques d'essuyage destructrices combinées à des opérations d'influence.L'acteur de menace exploite plusieurs personnages en ligne, les plus importants d'entre eux étant la justice de la patrie pour des attaques en Albanie et au Karma pour des attaques menées en Israël. ## Description Il y a des chevauchements clairs entre les cibles de vide manticore et de marminé marqué (aka Storm-0861), avec des indications de remise systématique des cibles entre ces deux groupes lorsqu'ils décident de mener des activités destructrices contre les victimes existantes de Manticore marqué.Les procédures de transfert documentées entre ces groupes suggèrent un niveau de planification cohérent et permettent à un accès vide de manticore à un ensemble plus large d'objectifs, facilité par leurs homologues \\ 'avancés.Les postes de collaboration ont annulé Manticore en tant qu'acteur exceptionnellement dangereux dans le paysage des menaces iraniennes. Void Manticore utilise cinq méthodes différentes pour mener des opérations perturbatrices contre ses victimes.Cela comprend plusieurs essuie-glaces personnalisés pour Windows et Linux, ainsi que la suppression manuelle de fichiers et de lecteurs partagés.Dans leurs dernières attaques, Void Manticore a utilisé un essuie-glace personnalisé appelé Bibi Wiper, faisant référence au surnom du Premier ministre d'Israël, Benjamin Netanyahu.L'essorage a été déployé dans plusieurs campagnes contre plusieurs entités en Israël et dispose de variantes pour Linux et Windows.  ## Analyse Microsoft Microsoft Threat Intelligence Tracks void Manticore comme [Storm-0842] (https://security.microsoft.com/intel-profiles/0c1349b0f2bd0e545d4f741eeae18dd89888d3c0fbf99540b7cf623ff5bb2bf5) ministère du renseignement et de la sécurité (MOIS).Depuis 2022, Microsoft a observé plusieurs cas où Storm-0842 a déployé un outil destructeur dans un environnement précédemment compromis par [Storm-0861] (https://security.microsoft.com 8DE00), un autre groupe avec des liens avecLes Mois. Depuis 2022, Microsoft a observé que la majorité des opérations impliquant Storm-0842 ont affecté les organisations en [Albanie] (https://security.microsoft.com/intel-explorer/articles/5491ec4b) et en Israël.En particulier, Microsoft a observé des opérateurs associés à Storm-0842 de manière opportuniste [déploiez l'essuie-glace de Bibi en réponse à la guerre d'Israël-Hamas.] (Https://security.microsoft.com/intel-explorer/articles/cf205f30) ## Détections Microsoft Defender Antivirus détecte plusieurs variantes (Windows et Linux) de l'essuie-glace Bibi comme le malware suivant: - [DOS: WIN32 / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=dos:win32/wprblightre.b!dha& ;theratid=-2147072872)(Les fenêtres) - [dos: lINUX / WPRBLIGHTRE] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=dos:linux/wprblightre.a& ;threatid = -2147072991) (Linux) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sigh Threat Ransomware Malware Tool APT 34 ★★★
DarkReading.webp 2024-05-22 14:11:54 Novel Edr-killing & apos; GhosenEngine & apos;Les logiciels malveillants sont conçus pour la furtivité
Novel EDR-Killing 'GhostEngine' Malware Is Built for Stealth (lien direct)		 Le logiciel malveillant précédemment inconnu (alias Hidden Shovel) est un fantôme dans la machine: il attaque silencieusement les pilotes de noyau pour arrêter les systèmes de défense de sécurité et ainsi échapper à la détection.
The previously unknown malware (aka Hidden Shovel) is a ghost in the machine: It silently attacks kernel drivers to shut down security defense systems and thus evade detection.		 Malware ★★★
Mandiant.webp 2024-05-22 14:00:00 Extinction de l'IOC?Les acteurs de cyber-espionnage de Chine-Nexus utilisent des réseaux orbes pour augmenter les coûts des défenseurs
IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders (lien direct)		 Written by: Michael Raggi
  Mandiant Intelligence is tracking a growing trend among China-nexus cyber espionage operations where advanced persistent threat (APT) actors utilize proxy networks known as “ORB networks” (operational relay box networks) to gain an advantage when conducting espionage operations. ORB networks are akin to botnets and are made up of virtual private servers (VPS), as well as compromised Internet of Things (IoT) devices, smart devices, and routers that are often end of life or unsupported by their manufacturers. Building networks of compromised devices allows ORB network administrators to easily grow the size of their ORB network with little effort and create a constantly evolving mesh network that can be used to conceal espionage operations.  By using these mesh networks to conduct espionage operations, actors can disguise external traffic between command and control (C2) infrastructure and victim environments including vulnerable edge devices that are being exploited via zero-day vulnerabilities.  These networks often use both rented VPS nodes in combination with malware designed to target routers so they can grow the number of devices capable of relaying traffic within compromised networks.  Mandiant assesses with moderate confidence that this is an effort to raise the cost of defending an enterprise\'s network and shift the advantage toward espionage operators by evading detection and complicating attribution. Mandiant believes that if network defenders can shift the current enterprise defense paradigm away from treating adversary infrastructure like indicators of compromise (IOCs) and instead toward tracking ORB networks like evolving entities akin to APT groups, enterprises can contend with the rising challenge of ORB networks in the threat landscape. IOC Extinction and the Rise of ORB Networks The cybersecurity industry has reported on the APT practice of ORB network usage in the past as well as on the functional implementation of these networks. Less discussed are the implications of broad ORB network usage by a multitude of China-nexus espionage actors, which has become more common over recent years. The following are three key points and paradigm shifting implications about ORB networks that require enterprise network defenders to adapt the way they think about China-nexus espionage actors: ORB networks undermine the idea of “Actor-Controlled Infrastructure”: ORB networks are infrastructure networks administered by independent entities, contractors, or administrators within the People\'s Republic of China (PRC). They are not controlled by a single APT actor. ORB networks create a network interface, administer a network of compromised nodes, and contract access to those networks to multiple APT actors that will use the ORB networks to carry out their own distinct espionage and reconnaissance. These networks are not controlled by APT actors using them, but rather are temporarily used by these APT actors often to deploy custom tooling more conventionally attributable to known China-nexus adversaries. ORB network infrastructure has a short lifesp		 Threat Malware Cloud Tool Prediction Commercial Vulnerability APT 15 APT 5 APT 31 ★★★
The_Hackers_News.webp 2024-05-22 13:11:00 Flaws MS Exchange Server exploité pour déployer Keylogger dans des attaques ciblées
MS Exchange Server Flaws Exploited to Deploy Keylogger in Targeted Attacks (lien direct)		 Un acteur de menace inconnu exploite les défauts de sécurité connus de Microsoft Exchange Server pour déployer un logiciel malveillant Keylogger dans les attaques ciblant les entités en Afrique et au Moyen-Orient. La société russe de cybersécurité Positive Technologies a déclaré avoir identifié plus de 30 victimes couvrant les agences gouvernementales, les banques, les sociétés informatiques et les établissements d'enseignement.Le tout premier compromis remonte à 2021. "Ce
An unknown threat actor is exploiting known security flaws in Microsoft Exchange Server to deploy a keylogger malware in attacks targeting entities in Africa and the Middle East. Russian cybersecurity firm Positive Technologies said it identified over 30 victims spanning government agencies, banks, IT companies, and educational institutions. The first-ever compromise dates back to 2021. "This		 Threat Malware ★★★
Pirate.webp 2024-05-22 12:35:58 (Déjà vu) Cybermenace : TEHTRIS alerte sur le retour du malware Mirai (lien direct) >Après avoir créé de graves perturbations sur des sites web majeurs en 2016 – Twitter, Reddit, Netflix ou encore GitHub, TEHTRIS révèle que le source du malware Mirai a été utilisé pour créer des variantes plus puissantes, visant à lancer de nouvelles attaques DDoS massives. Tribune – TEHTRIS, entreprise leader dans la neutralisation automatique en […] The post Cybermenace : TEHTRIS alerte sur le retour du malware Mirai first appeared on UnderNews. Malware ★★★
globalsecuritymag.webp 2024-05-22 08:01:25 TEHTRIS alerte sur le retour du malware Mirai (lien direct) TEHTRIS alerte sur le retour du malware Mirai Après avoir créé de graves perturbations sur des sites web majeurs en 2016 – Twitter, Reddit, Netflix ou encore GitHub, TEHTRIS révèle que le source du malware Mirai a été utilisé pour créer des variantes plus puissantes, visant à lancer de nouvelles attaques DDoS massives. - Malwares Malware ★★
DarkReading.webp 2024-05-21 20:24:42 YouTube devient le dernier front de bataille pour le phishing, Deepfakes
YouTube Becomes Latest Battlefront for Phishing, Deepfakes (lien direct)		 Les e-mails de phishing personnalisés avec de fausses opportunités de collaboration et des descriptions de vidéos compromises liées aux logiciels malveillants ne sont que quelques-unes des nouvelles astuces.
Personalized phishing emails with fake collaboration opportunities and compromised video descriptions linking to malware are just some of the new tricks.		 Malware ★★
The_Hackers_News.webp 2024-05-21 19:49:00 La livraison de logiciels malveillants via les services cloud exploite une astuce Unicode pour tromper les utilisateurs
Malware Delivery via Cloud Services Exploits Unicode Trick to Deceive Users (lien direct)		 Une nouvelle campagne d'attaque surnommée & nbsp; cloud # reverser & nbsp; a été observée en tirant parti des services de stockage cloud légitimes comme Google Drive et Dropbox pour mettre en scène des charges utiles malveillantes. "Les scripts VBScript et PowerShell dans le Cloud # Reverser impliquent intrinsèquement des activités de type commandement et de contrôle en utilisant Google Drive et Dropbox comme stadification pour gérer les téléchargements et les téléchargements de fichiers", Securonix
A new attack campaign dubbed CLOUD#REVERSER has been observed leveraging legitimate cloud storage services like Google Drive and Dropbox to stage malicious payloads. "The VBScript and PowerShell scripts in the CLOUD#REVERSER inherently involves command-and-control-like activities by using Google Drive and Dropbox as staging platforms to manage file uploads and downloads," Securonix		 Malware Cloud
The_Hackers_News.webp 2024-05-21 18:37:00 Le malware solarmarker évolue pour résister aux tentatives de retrait avec une infrastructure à plusieurs niveaux
SolarMarker Malware Evolves to Resist Takedown Attempts with Multi-Tiered Infrastructure (lien direct)		 Les acteurs de menace persistants derrière le & nbsp; solarmarker & nbsp; malware de volet de l'information ont établi une infrastructure à plusieurs niveaux pour compliquer les efforts de démontage des forces de l'ordre, de nouvelles conclusions de Future Show enregistré. "Le cœur des opérations de Solarmarker est son infrastructure en couches, qui se compose d'au moins deux clusters: un primaire pour les opérations actives et un secondaire probable
The persistent threat actors behind the SolarMarker information-stealing malware have established a multi-tiered infrastructure to complicate law enforcement takedown efforts, new findings from Recorded Future show. "The core of SolarMarker\'s operations is its layered infrastructure, which consists of at least two clusters: a primary one for active operations and a secondary one likely		 Threat Malware Legislation
RiskIQ.webp 2024-05-21 18:21:28 Les gangs de ransomware ciblent les administrateurs de Windows via Putty, WinSCP malvertising
Ransomware gang targets Windows admins via PuTTy, WinSCP malvertising (lien direct)		 ## Instantané L'opération récente des ransomwares cible les administrateurs du système Windows en utilisant des annonces de moteurs de recherche pour promouvoir de faux sites de téléchargement pour des services publics populaires comme Putty et WinSCP. ## Description Ces faux sites, en utilisant des noms de domaine de typosquat, conduisent les utilisateurs à télécharger des archives ZIP contenant des installateurs trafiqués.Lors du lancement du setup.exe, une DLL malveillante est chargée à l'aide de l'électricité de la DLL, installant finalement la boîte à outils post-exploitation Sliver pour l'accès initial aux réseaux d'entreprise. L'acteur de menace utilise ensuite cet accès pour baisser à distance d'autres charges utiles, y compris les balises de frappe de Cobalt, avec l'intention d'exfiltration de données et de déploiement d'un encryptor de ransomware.Le flux d'attaque observé dans cette campagne est similaire à ceux observés dans les précédentes campagnes de ransomware BlackCat / AlphV rapportées par MalwareBytes et Trend Micro. Cette campagne met en évidence le problème croissant des publicités sur les moteurs de recherche utilisée par les acteurs de la menace pour distribuer des logiciels malveillants et des sites de phishing, ciblant un large éventail de programmes populaires. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants.[Allumez la protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/em%3ElearnDoc) pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'installation de rats et d'autres applications indésirables. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-Point de terminaison / Activer-Cloud-Protection-microsoft-defender-Antivirus? OCID = magicti% 3cem% 3eta% 3c / em% 3ELearnDoc) et soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Allumez [Fonctionnalités de protection contre les alcool% 3eta% 3C / EM% 3ELEARNDOC) Pour empêcher les attaquants d'empêcher les services de sécurité. Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti%3CEM%3ETA%3C/EM% 3ELEARNDOC) Pour empêcher les techniques d'attaque courantes utilisées dans les attaques de ransomwares. Ransom et étape de mouvement latéral: Threat Ransomware Malware Prediction
globalsecuritymag.webp 2024-05-21 14:01:14 Les logiciels malveillants sans fil représentent 86,2% de toutes les détections - Reliaquest
Fileless malware accounts for 86.2% of all detections - ReliaQuest (lien direct)		 Reliaquest a publié un nouveau rapport visant à vivre des attaques de logiciels malveillants terrestres. . - rapports spéciaux
ReliaQuest has published a new report looking at Living off the Land and Fileless malware attacks. - Special Reports		 Malware
RiskIQ.webp 2024-05-20 20:03:06 Nouveaux utilisateurs Linux attaquant Linux Backdoor via des packages d'installation
New Linux Backdoor Attacking Linux Users Via Installation Packages (lien direct)		 #### Géolocations ciblées - Corée ## Instantané L'équipe Hunter de Symantec \\ a découvert une nouvelle porte dérobée Linux, Linux.gomir, développée par le groupe nord-coréen Espionage, également connu sous le nom de Kimsuky. Microsoft suit Kimsuky comme du grésil émeraude.[En savoir plus sur ThEm ici.] (https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) ## descript La porte dérobée est liée à des logiciels malveillants utilisés dans une récente campagne contre des organisations en Corée du Sud.La porte dérobée semble être une version Linux de la porte dérobée de GoBear, qui a été utilisée dans une récente campagne Springtail qui a vu les attaquants livrer des logiciels malveillants via des packages d'installation logiciels à trojanisés. La campagne a vu Springtail offrir une nouvelle famille de logiciels malveillants nommé Sceller Toll à l'aide de packages d'installation de logiciels trojanisés.Troll Stealer peut voler une gamme d'informations à partir d'ordinateurs infectés, y compris les fichiers, les captures d'écran, les données du navigateur et les informations système.Le logiciel malveillant a été distribué à l'intérieur des packages d'installation pour Trustpki et NX \ _Prnman, logiciels développés par SGA Solutions. ## Recommandations Défendre les réseaux d'entreprise contre les attaques de chaîne d'approvisionnement Les attaques de chaîne d'approvisionnement logicielles soulèvent de nouveaux défis de sécurité étant donné qu'ils profitent de tâches quotidiennes courantes comme l'installation et la mise à jour des logiciels.Compte tenu de la prévalence croissante de ces types d'attaques, les organisations devraient étudier les solutions de sécurité suivantes: - Adoptez un écosystème de jardin clos pour les appareils, en particulier pour les systèmes critiques.[Windows 10 en mode S] (https://www.microsoft.com/en-us/windows/s-mode) est conçu pour permettre uniquement aux applications installées à partir de la boutique Microsoft, en garantissant à Microsoft-Verified Security - Déployer des politiques d'intégrité du code solides.[Contrôle des applications] (https://docs.microsoft.com/en-us/windows/security/thereat-potection/windows-defender-application-ctretrol/windows-defender-application-ctretrol) peut être utilisé pour restreindre les applicationsque les utilisateurs sont autorisés à s'exécuter.Il restreint également le code qui s'exécute dans le noyau système (noyau) et peut bloquer les scripts non signés et d'autres formes de code non fiduciaire pour les clients qui ne peuvent pas adopter entièrement Windows 10 en S. - Utilisez des solutions de détection et de réponse (EDR) (EDR).[Détection et réponse des points de terminaison] (https://docs.microsoft.com/en-us/windows/security/thereat-potection/windows-defender-atp/windows-defender-advanced-threat-protection) Capacités dans Windows Defender ATPPeut détecter et corriger automatiquement les activités suspectes et d'autres actions post-abri, donc même lorsque le vecteur d'entrée est furtif comme pour la chaîne d'approvisionnement des logiciels, Windows Defender ATP peut aider à détecter et contenir de tels incidents plus tôt. Dans les attaques de la chaîne d'approvisionnement, le compromis réel se produit en dehors du réseau, mais les organisations peuvent détecter et bloquer les logiciels malveillants qui arrivent à travers cette méthode.Les technologies de sécurité intégrées dans Windows Defender Advanced Threat Protection (Windows Defender ATP) fonctionnent ensemble pour créer une plate-forme de sécurité de point de terminaison unifiée.Par exemple, comme démontré cette enquête, les capacités antivirus ont détecté la charge utile d'extraction de pièces.La détection a été surface sur Windows Defender ATP, où une enquête automatisée a résolu l'attaque, protégeant les clients.La chronologie riche en a Threat Malware
The_Hackers_News.webp 2024-05-20 17:50:00 Foxit PDF Reader Flaw exploité par des pirates pour livrer un arsenal de logiciels malveillants divers
Foxit PDF Reader Flaw Exploited by Hackers to Deliver Diverse Malware Arsenal (lien direct)		 Les acteurs de menaces multiples armement un défaut de conception dans le lecteur Foxit PDF pour livrer une variété de logiciels malveillants tels que l'agent Tesla, Asyncrat, DCRAT, Nanocore Rat, Njrat, Pony, Remcos Rat et Xworm. "Cet exploit déclenche des avertissements de sécurité qui pourraient tromper les utilisateurs sans méfiance dans l'exécution de commandes nuisibles", Check Point & nbsp; Said & NBSP; dans un rapport technique."Cet exploit a été utilisé par plusieurs
Multiple threat actors are weaponizing a design flaw in Foxit PDF Reader to deliver a variety of malware such as Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT, and XWorm. "This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands," Check Point said in a technical report. "This exploit has been used by multiple		 Threat Malware Technical
The_Hackers_News.webp 2024-05-20 14:56:00 Les cybercriminels exploitent Github et Filezilla pour livrer des logiciels malveillants de cocktails
Cyber Criminals Exploit GitHub and FileZilla to Deliver Cocktail Malware (lien direct)		 A "multi-faceted campaign" has been observed abusing legitimate services like GitHub and FileZilla to deliver an array of stealer malware and banking trojans such as Atomic (aka AMOS), Vidar, Lumma (aka LummaC2), and Octo by impersonating credible software like1Password, Bartender 5 et Pixelmator Pro. "La présence de plusieurs variantes de logiciels malveillants suggère un large ciblage multiplateforme
A "multi-faceted campaign" has been observed abusing legitimate services like GitHub and FileZilla to deliver an array of stealer malware and banking trojans such as Atomic (aka AMOS), Vidar, Lumma (aka LummaC2), and Octo by impersonating credible software like 1Password, Bartender 5, and Pixelmator Pro. "The presence of multiple malware variants suggests a broad cross-platform targeting		 Threat Malware
RiskIQ.webp 2024-05-20 14:19:33 Faits saillants hebdomadaires, 20 mai 2024
Weekly OSINT Highlights, 20 May 2024 (lien direct)		 ## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence un éventail diversifié de cyber-menaces sophistiquées ciblant divers secteurs, notamment des infrastructures critiques, des institutions financières et des entités diplomatiques.Les articles soulignent la complexité croissante des vecteurs d'attaque, tels que l'utilisation de campagnes de tunnels DNS, de malvertisation et de phishing sophistiquées.Les acteurs de la menace, allant de groupes à motivation financière comme FIN7, à des entités parrainées par l'État comme Turla, utilisent des techniques avancées comme l'obscurcissement des logiciels malveillants, la stéganographie et l'ingénierie sociale pour atteindre leurs objectifs. ## Description 1. ** [Darkgate Malware Campaign exploite PDF Lures] (https://security.microsoft.com/intel-explorer/articles/055cd342) **: les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants Darkgate qui utilise des rémissions de PDF déguisées sous forme de factures QuickBooks intuites, incitant les utilisateurs à télécharger un fichier malveillant des archives Java (JAR).Le fichier JAR télécharge des charges utiles supplémentaires, y compris un script AutOIT, établissant des connexions distantes et exécutant du code de shell pour communiquer avec les serveurs C2. 2. ** [Campagne d'évolution des logiciels malveillants Ebury] (https://security.microsoft.com/intel-explorer/articles/276a4404) **: Les chercheurs ESET ont indiqué que le malware Ebury, qui cible les serveurs Linux pour un gain financier, a de gain financier,a évolué avec de nouvelles techniques d'obscurcissement et un algorithme de génération de domaine.Le malware, actif depuis 2009, compromet les serveurs pour voler des données de crypto-monnaie et financières, exploitant le trafic SSH et tirant parti de l'infrastructure du fournisseur d'hébergement. 3. ** [DNS Tunneling utilisé pour la communication secrète] (https://security.microsoft.com/intel-explorer/articles/7f0d7aa3) **: les chercheurs de Palo Alto ont mis en évidence l'utilisation du tunneling DNS par des pirates pour exfiltrater les données et communiqueravec les serveurs C2 secrètement.Des campagnes comme "TrkCDN" et "Secshow" utilisent cette technique pour contourner les mesures de sécurité traditionnelles, l'intégration de données malveillantes dans les requêtes et les réponses DNS. 4. ** [La campagne de phishing distribue une nouvelle souche de logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/95ff5bf6)**: AhnLab a identifié une campagne de phishing distribuant des logiciels malveillantsPar e-mails déguisés en avertissements de violation du droit d'auteur, conduisant à l'infostaler et aux ransomwares de bête vidar.Le ransomware crypte les fichiers et se propage via des réseaux, tandis que l'infostaler cible les informations utilisateur et se connecte aux serveurs C2. 5. ** [Profil github utilisé pour distribuer des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/4782de66) **: le groupe INSIKT a découvert une campagne par des acteurs de menace russe à l'aide de GitHub pour distribuer des logiciels malveillantsse faire passer pour un logiciel légitime.La campagne a utilisé des variantes comme le voleur atomique MacOS (AMOS) et le vidar pour infiltrer les systèmes et voler des données sensibles, indiquant un effort coordonné d'un groupe de menaces sophistiqué. 6. ** [Fin7 utilise des sites Web malveillants pour répandre les logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/6c0c8997) **: ESENTIRE observé Fin7, suivi par Microsoft comme [Sangria Tempest] (Https: Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaea4d3565df70afc7c85eaee69f74278), en utilisant des sites Web malveillants qui imposent des marques et des formes de pochette et de la rencontre Google.Les attaques impliquaient Netsupport Rat pour la reconnaissance et la persistance du système, Threat Ransomware Malware Tool Vulnerability Medical
Blog.webp 2024-05-20 13:28:27 Le nouveau logiciel malveillant Android Android fait la mise à jour de Google pour voler des fonds
New Antidot Android Malware Poses as Google Update to Steal Funds (lien direct)		 > Par waqas Le nouveau malware Android "Antidot" se déguise en Google Update pour voler les informations bancaires.Ne cliquez pas sur les liens de mise à jour suspects!Télécharger les applications uniquement depuis Google Play & # 038;Gardez le logiciel à jour. Ceci est un article de HackRead.com Lire la publication originale: Le nouveau malware Android Android se présente comme Google Update pour voler des fonds
>By Waqas New Android Malware "Antidot" disguises itself as Google Update to steal banking info. Don\'t click suspicious update links! Download apps only from Google Play & keep software updated. This is a post from HackRead.com Read the original post: New Antidot Android Malware Poses as Google Update to Steal Funds		 Malware Mobile
itsecurityguru.webp 2024-05-20 12:18:44 Entretien de la prévention: stratégies pour renforcer la cybersécurité de votre organisation \\
Prevention Maintenance: Strategies To Bolster Your Organisation\\'s Cybersecurity (lien direct)		 La cybersécurité n'a jamais été aussi critique pour les entreprises.En 2023, un étonnant 50% des entreprises au Royaume-Uni ont déclaré avoir subi une forme de violation ou d'attaque de cybersécurité.Ce nombre met en évidence la nature répandue des menaces numériques.Aujourd'hui, les cyber-menaces courantes incluent les attaques de phishing, de ransomwares et de logiciels malveillants, chacun capable de perturber considérablement les opérations et [& # 8230;] Le post Maintenance de prévention: stratégies pour soutenirLa cybersécurité de votre organisation est apparue pour la première fois sur gourou de la sécurité informatique .
Cybersecurity has never been more critical for businesses. In 2023, an astonishing 50 per cent of companies in the UK reported experiencing some form of cybersecurity breach or attack. This number highlights the widespread nature of digital threats.  Today, common cyber threats include phishing, ransomware, and malware attacks, each capable of significantly disrupting operations and […] The post Prevention Maintenance: Strategies To Bolster Your Organisation\'s Cybersecurity first appeared on IT Security Guru. 		Ransomware Malware
bleepingcomputer.webp 2024-05-20 12:06:44 La nouvelle version Bibi Wiper détruit également le tableau de partition de disque
New BiBi Wiper version also destroys the disk partition table (lien direct)		 Une nouvelle version du malware Bibi Wiper supprime désormais le tableau de partition de disque pour rendre la restauration des données plus difficile, prolongeant le temps d'arrêt des victimes ciblées.[...]
A new version of the BiBi Wiper malware is now deleting the disk partition table to make data restoration harder, extending the downtime for targeted victims. [...]		 Malware
The_Hackers_News.webp 2024-05-20 11:17:00 Latrodectus Malware Loader apparaît comme un successeur icedid \\ dans les campagnes de phishing
Latrodectus Malware Loader Emerges as IcedID\\'s Successor in Phishing Campaigns (lien direct)		 Les chercheurs en cybersécurité ont observé un pic dans les campagnes de phishing par e-mail à partir du début mars 2024 qui livre & nbsp; Latrodectus, un chargeur de logiciels malveillants naissants qui serait le successeur du malware icedid. "Ces campagnes impliquent généralement une chaîne d'infection reconnaissable impliquant des fichiers JavaScript surdimensionnés qui utilisent la capacité de WMI \\ à invoquer MSIEXEC.EXE et à installer un MSI hébergé à distance
Cybersecurity researchers have observed a spike in email phishing campaigns starting early March 2024 that delivers Latrodectus, a nascent malware loader believed to be the successor to the IcedID malware. "These campaigns typically involve a recognizable infection chain involving oversized JavaScript files that utilize WMI\'s ability to invoke msiexec.exe and install a remotely-hosted MSI		 Malware ★★★
AlienVault.webp 2024-05-20 10:00:00 Disséquant une attaque de phishing à plusieurs étapes.
Dissecting a Multi-stage Phishing Attack. (lien direct)		 Phishing is one of the most common forms of cyber attack that organizations face nowadays. A 2024 risk report states that 94% of organizations fall victim to phishing attacks, and 96% are negatively impacted by them. However, phishing attacks are not only growing in number but are also more sophisticated and successful. This is owing to the modern multi-stage phishing attack, which is common nowadays. The multi-stage phishing attack is a sophisticated and multifaceted technique that increases the likelihood of success of an attack. While these attacks are becoming increasingly common, there needs to be more awareness of them. Therefore, to find relevant measures for mitigating these attacks, organizations must gain crucial insights regarding these multifaceted threats covered in this blog. What is a Multi-stage Phishing Attack? As its name suggests, a multi-stage phishing attack is a complex form of traditional phishing. In a multi-stage setup, a phishing attack relies on more deceptive strategies and phases rather than solely relying on one deceptive email, unlike in a traditional phishing attack. All the phases within the multi-stage phishing attack are designed to build trust and gather relative information about the target over time. Since this approach works discreetly on a multi-phased setup, it allows threat actors to bypass advanced security measures such as residential proxies and phishing detection tools. Multi-stage phishing attacks are a common occurrence in the modern cyber threat landscape. Attackers use this sophisticated layered tactic to deploy targeted ransomware or while conducting successful business email compromise (BEC) attacks. Dissecting a multi-stage phishing attack A multi-stage phishing attack is a sophisticated strategy that relies on a sequence of carefully designed steps. These steps help increase the probability of a successful phishing attack by evading advanced security and detection techniques. A typical multi-stage approach to the attack consists of the following phases: Initial Contact Like any traditional attack, the multi-stage attack starts with the threat actor initiating contact with the target through seemingly innocuous means. These include social media messages, phishing emails, or even physical methods such as USB drops. Establishing Trust After establishing contact with the target, the threat actor builds trust. This often involves impersonating legitimate entities or using communication channels familiar to the target, making it easy for them to fall victim and trust the threat actor. Introducing Complexities As the attack progresses, the threat actor introduces complexities such as using CAPTCHAs, QR Codes, and steganography to create further layers of deception, guaranteeing the attack\'s success. Exploitation The final stage of the attack involves exploiting the target. At this stage, the threat actor could either deploy malware, extract sensitive information, or perform any other malicious activity that might have been the goal of the whole attack. This multi-layered nature of a phishing attack makes it hard to detect through traditional security tools like residential proxies and phishing detection tools. Therefore, it ultimately makes the attack successful. How QR Codes, Captchas, and Steganography Are Used in Layered Phishing Attacks. In a multi-stage phishing attack, QR Codes, steganography, and CAPTCHAs are used to overcome security barriers and increase the attack\'s efficiency. Here is how each of these elements is used to ensure the attack is successful: QR Codes Quick Response or QR codes have become ubiquitous in various applications since they a Threat Ransomware Malware Tool
bleepingcomputer.webp 2024-05-18 10:12:24 Banking Malware Grandoreiro revient après la perturbation de la police
Banking malware Grandoreiro returns after police disruption (lien direct)		 Le Troie bancaire "Grandoreiro" se propage dans une campagne de phishing à grande échelle dans plus de 60 pays, ciblant les comptes clients d'environ 1 500 banques.[...]
The banking trojan "Grandoreiro" is spreading in a large-scale phishing campaign in over 60 countries, targeting customer accounts of roughly 1,500 banks. [...]		 Malware Legislation ★★
RiskIQ.webp 2024-05-17 19:11:34 To the Moon and back(doors): Lunar landing in diplomatic missions (lien direct) #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land Threat Malware Tool Technical ★★
RiskIQ.webp 2024-05-17 16:57:23 Du document au script: à l'intérieur de la campagne de Darkgate \\
From Document to Script: Insides of DarkGate\\'s Campaign (lien direct)		 ## Instantané Les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants de Darkgate où les victimes ont reçu des atouts PDF imitant les factures de QuickBooks intuit à partir d'un e-mail compromis. Lire la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Ces e-mails invitent les utilisateurs à installer Java pour afficher la facture, les conduisant à télécharger par inadvertance un fichier archive Java (JAR) malveillant à partir d'une URL géofisée.L'analyse de la campagne de Forcepoint \\ a révélé une structure sophistiquée dans le fichier JAR, qui abrite des commandes pour télécharger des charges utiles supplémentaires, y compris un script AutOIT.Le script utilise des méthodes d'obscuscations pour masquer ses opérations, exécuter le code de shell et établir des connexions avec des serveurs de commande et de contrôle distants (C2). ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Win32 / Darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/darkgate) - [* Trojan: win64 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:wiN64 / Darkgate! Mtb & menaceID = -2147076814) - [* Trojan: vbs / darkgate *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = Trojan: vbs / darkgate.ba! msr & menaceID = -2147075963) - [* Comportement: win32 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.zy& threattid=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Darkgate * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Implémentation de la résistance à l'authentification d'accès conditionnel] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengs?ocid=Magicti_ta_learndoc) pour nécessiter une authentification de phishing-résistante pour les employés et les utilisateurs externespour les applications critiques. - [Spécifiez les organisations de fiducie Microsoft 365] (https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings&mét-365-organisations) pour définir quels domaines externes sont autorisés ou bloqués pour discuter et se rencontrer. - Gardez [Microsoft 365 Audit] (https://learn.microsoft.com/en-us/purview/audit-solutions-overview?ocid=magicti_ta_learndoc) activé afin que les enregistrements d'audit puissent être étudiés si nécessaire. - Comprendre et sélectionner les [meilleurs paramètres d'accès pour la collaboration externe] (https://learn.microsoft.com/en-us/microsoftteams/communicate-with-users-from-other-Organizations?ocid=Magicti_TA_LearnDoc) pour votre organisation. - [Autoriser uniquement les appareils connus] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/howto-conditional-acCess-Policy-Compliant-Device? OCID = magicti_ta_learndoc) qui adhèrent aux bases de base de sécurité recommandées de Microsoft \\.? Ocid = magicti_ta_learndoc) - éduquer les utilisateurs abOut ingénierie sociale et attaques de phishing d'identification, notamment Threat Malware Cloud ★★
DarkReading.webp 2024-05-17 16:00:00 400k serveurs Linux recrutés par Resurrected Ebury Botnet
400K Linux Servers Recruited by Resurrected Ebury Botnet (lien direct)		 Le vol de crypto-monnaie et la fraude financière sont le nouveau M.O.de l'opération de logiciels malveillants de 15 ans qui a frappé des organisations à travers le monde.
Cryptocurrency theft and financial fraud are the new M.O. of the 15-year-old malware operation that has hit organizations around the globe.		 Malware ★★
globalsecuritymag.webp 2024-05-17 08:30:00 Tenable découvre une exploitation des serveurs Apache Tomcat par le malware Kinsing (lien direct) Tenable découvre une exploitation des serveurs Apache Tomcat par le malware Kinsing - Malwares Malware ★★
Blog.webp 2024-05-16 22:02:31 HP expose les utilisateurs de ciblage à faible effort et à fort impact pour cibler les utilisateurs
HP Exposes Low-Effort, High-Impact Cat-Phishing Targeting Users (lien direct)		 > Par waqas Le nouveau rapport HP révèle que les cybercriminels tirent de plus en plus des techniques de "phishing", exploitant des redirections ouvertes dans des sites Web légitimes pour tromper les utilisateurs et livrer des logiciels malveillants. Ceci est un article de HackRead.com Lire le post original: HP expose les utilisateurs de ciblage de phistes de chat à faible effort à haut impact
>By Waqas New HP report reveals cybercriminals are increasingly leveraging "cat-phishing" techniques, exploiting open redirects in legitimate websites to deceive users and deliver malware. This is a post from HackRead.com Read the original post: HP Exposes Low-Effort, High-Impact Cat-Phishing Targeting Users		 Malware ★★★
RiskIQ.webp 2024-05-16 21:30:54 Ebury est vivant mais invisible: 400k serveurs Linux compromis pour le vol de crypto-monnaie et le gain financier
Ebury is Alive but Unseen: 400k Linux Servers Compromised for Cryptocurrency Theft and Financial Gain (lien direct)		 ## Instantané Les chercheurs de l'ESET ont publié un rapport sur l'évolution de la campagne de logiciels malveillants Ebury, qui tire parti de logiciels malveillants Linux à des fins financières. ## Description La campagne s'est diversifiée pour inclure la carte de crédit et le vol de crypto-monnaie.Le logiciel malveillant a été mis à jour avec de nouvelles techniques d'obscurcissement, un nouvel algorithme de génération de domaine et des améliorations de l'utilisateur Rootkit utilisé par Ebury pour se cacher des administrateurs système.Les acteurs de la menace Ebury utilisent différentes méthodes pour compromettre les nouveaux serveurs, y compris l'utilisation de l'adversaire au milieu pour intercepter le trafic SSH de cibles intéressantes dans les centres de données et le rediriger vers un serveur utilisé pour capturer les informations d'identification. La famille des logiciels malveillants Ebury a été utilisé pour compromettre plus de 400 000 serveurs depuis 2009, et plus de 100 000 sont encore compromis à la fin de 2023. Les acteurs de la menace tirent parti de leur accès aux fournisseurs d'hébergement \\ 'Infrastructure pour installer Ebury sur tous les serveurs louéspar ce fournisseur.Parmi les cibles figurent les nœuds Bitcoin et Ethereum.Les demandes de publication HTTP faites vers et depuis les serveurs sont exploitées pour voler les détails financiers des sites Web transactionnels. ## Les références ["Ebury Botnet Malware a infecté 400 000 serveurs Linux depuis 2009".] (Https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-009/)BleepingComputer (consulté en 2024-05-15) ["Ebury est vivant mais invisible: 400k serveurs Linux compromis pour les cryptoft et le gain financier".] (Https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-Compromis-Cryptotheft-financial-gain /) eset (consulté en 2024-05-15)
## Snapshot ESET researchers have published a report on the evolution of the Ebury malware campaign, which leverages Linux malware for financial gain. ## Description The campaign has diversified to include credit card and cryptocurrency theft. The malware has been updated with new obfuscation techniques, a new domain generation algorithm, and improvements in the userland rootkit used by Ebury to hide itself from system administrators. The Ebury threat actors use different methods to compromise new servers, including the use of adversary in the middle to intercept SSH traffic of interesting targets inside data centers and redirect it to a server used to capture credentials. Ebury malware family has been used to compromise more than 400,000 servers since 2009, with more than 100,000 still compromised as of late 2023. The threat actors leverage their access to hosting providers\' infrastructure to install Ebury on all the servers that are being rented by that provider. Among the targets are Bitcoin and Ethereum nodes. HTTP POST requests made to and from the servers are leveraged to steal financial details from transactional websites. ## References ["Ebury botnet malware infected 400,000 Linux servers since 2009".](https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/) BleepingComputer (Accessed 2024-05-15) ["Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain".](https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain/) ESET (Accessed 2024-05-15)		 Threat Malware ★★★
RiskIQ.webp 2024-05-16 19:51:14 (Déjà vu) Malware Distributed as Copyright Violation-Related Materials (Beast Ransomware, Vidar Infostealer) (lien direct) ## Instantané Les chercheurs en sécurité AHNLAB ont identifié une nouvelle souche malveillante qui est distribuée par des e-mails de phishing déguisés en avertissements de violation du droit d'auteur. ## Description L'e-mail de phishing contient un hyperlien qui télécharge un fichier compressé.Le fichier compressé téléchargé contient à son tour des fichiers compressés ALZ supplémentaires, qui, lorsqu'ils sont décodés et décompressés, révèlent deux fichiers exécutables - l'infosaler Vidar et le ransomware de la bête. La bête ransomware chiffre les fichiers originaux et ajoute une extension spécifique, tandis que l'infosteller Vidar se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, y compris les données et les fichiers du navigateur Web sur le PC de l'utilisateur \\.La bête ransomware, une évolution du ransomware du monstre, crypte les fichiers originaux et ajoute des extensions spécifiques.Il analyse également les ports de SMB actifs, indiquant une intention de se propager par un mouvement latéral.Le Vidar InfoSteller se connecte à un serveur C2 pour recevoir des commandes et peut cibler diverses informations utilisateur, en utilisant des plateformes publiques pour la communication avec son serveur C2. ## Détections ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / VidaStelleer] (HTtps: //www.microsoft.com/wdsi/therets/malware-encyclopedia-description? name = trojan: win32 / vidarsaler.bm! msr & menaced = -2147194064) ### miCrosoft Defender pour le point de terminaison Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Informations volant l'activité de logiciels malveillants ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus Threat Ransomware Spam Malware Tool ★★★
DarkReading.webp 2024-05-16 19:35:58 Experts américains de l'IA ciblés dans la campagne Sugargh0st Rat
US AI Experts Targeted in SugarGh0st RAT Campaign (lien direct)		 Les chercheurs pensent que l'attaquant est probablement affilié à la Chine, car une version précédente du malware a été utilisée par un groupe d'attaque de l'État-nation chinois.
Researchers believe the attacker is likely China-affiliated, since a previous version of the malware was used by a China nation-state attack group.		 Malware ★★
The_Hackers_News.webp 2024-05-16 19:18:00 Les pirates nord-coréens exploitent Facebook Messenger dans une campagne de logiciels malveillants ciblés
North Korean Hackers Exploit Facebook Messenger in Targeted Malware Campaign (lien direct)		 Le nord-lié à la Corée du Nord & NBSP; Kimsuky Hacking Group & NBSP; a été attribué à une nouvelle attaque d'ingénierie sociale qui utilise des comptes Facebook fictifs aux cibles via Messenger et, finalement, offre des logiciels malveillants. "L'acteur de menace a créé un compte Facebook avec une fausse identité déguisée en fonctionnaire de travail dans le domaine nord-coréen des droits de l'homme", génie de la société de cybersécurité sud-coréenne
The North Korea-linked Kimsuky hacking group has been attributed to a new social engineering attack that employs fictitious Facebook accounts to targets via Messenger and ultimately delivers malware. "The threat actor created a Facebook account with a fake identity disguised as a public official working in the North Korean human rights field," South Korean cybersecurity company Genians		 Threat Malware ★★★
ProofPoint.webp 2024-05-16 12:03:39 Mémoire de sécurité: édulcorant artificiel: Sugargh0st Rat utilisé pour cibler les experts en intelligence artificielle américaine
Security Brief: Artificial Sweetener: SugarGh0st RAT Used to Target American Artificial Intelligence Experts (lien direct)		 What happened  Proofpoint recently identified a SugarGh0st RAT campaign targeting organizations in the United States involved in artificial intelligence efforts, including those in academia, private industry, and government service. Proofpoint tracks the cluster responsible for this activity as UNK_SweetSpecter.  SugarGh0st RAT is a remote access trojan, and is a customized variant of Gh0stRAT, an older commodity trojan typically used by Chinese-speaking threat actors. SugarGh0st RAT has been historically used to target users in Central and East Asia, as first reported by Cisco Talos in November 2023.   In the May 2024 campaign, UNK_SweetSpecter used a free email account to send an AI-themed lure enticing the target to open an attached zip archive.  Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed enough to receive a numerical TA designation.  Lure email  Following delivery of the zip file, the infection chain mimicked “Infection Chain 2” as reported by Cisco Talos. The attached zip file dropped an LNK shortcut file that deployed a JavaScript dropper. The LNK was nearly identical to the publicly available LNK files from Talos\' research and contained many of the same metadata artifacts and spoofed timestamps in the LNK header. The JavaScript dropper contained a decoy document, an ActiveX tool that was registered then abused for sideloading, and an encrypted binary, all encoded in base64. While the decoy document was displayed to the recipient, the JavaScript dropper installed the library, which was used to run Windows APIs directly from the JavaScript. This allowed subsequent JavaScript to run a multi-stage shellcode derived from DllToShellCode to XOR decrypt, and aplib decompress the SugarGh0st payload. The payload had the same keylogging, command and control (C2) heartbeat protocol, and data exfiltration methods. The main functional differences in the infection chain Proofpoint observed compared to the initial Talos report were a slightly modified registry key name for persistence, CTFM0N.exe, a reduced number of commands the SugarGh0st payload could run, and a different C2 server. The analyzed sample contained the internal version number of 2024.2.   Network analysis  Threat Research analysis demonstrated UNK_SweetSpecter had shifted C2 communications from previously observed domains to account.gommask[.]online. This domain briefly shared hosting on 103.148.245[.]235 with previously reported UNK_SweetSpecter domain account.drive-google-com[.]tk. Our investigation identified 43.242.203[.]115 hosting the new C2 domain. All identified UNK_SweetSpecter infrastructure appears to be hosted on AS142032.   Context  Since SugarGh0st RAT was originally reported in November 2023, Proofpoint has observed only a handful of campaigns. Targeting in these campaigns included a U.S. telecommunications company, an international media organization, and a South Asian government organization. Almost all of the recipient email addresses appeared to be publicly available.   While the campaigns do not leverage technically sophisticated malware or attack chains, Proofpoint\'s telemetry supports the assessment that the identified campaigns are extremely targeted. The May 2024 campaign appeared to target less than 10 individuals, all of whom appear to have a direct connection to a single leading US-based artificial intelligence organization according to open source research.   Attribution   Initial analysis by Cisco Talos suggested SugarGh0st RAT was used by Chinese language operators. Analysis of earlier UNK_SweetSpecter campaigns in Proofpoint visibility confirmed these language artifacts. At this time, Proofpoint does not have any additional intelligence to strengthen this attribution.   While Proofpoint cannot attribute the campaigns with high confidence to a specific state objective, the lure theme specifically referencing an AI too Threat Malware Tool Vulnerability ★★★
bleepingcomputer.webp 2024-05-16 11:57:15 Les pirates russes utilisent de nouveaux logiciels malveillants lunaires pour briser les agences européennes du gouvernement \\
Russian hackers use new Lunar malware to breach a European govt\\'s agencies (lien direct)		 Les chercheurs en sécurité ont découvert deux dérives auparavant invisibles surnommées Lunarweb et Lunarmail qui ont été utilisées pour compromettre les institutions diplomatiques d'un gouvernement européen à l'étranger.[...]
Security researchers discovered two previously unseen backdoors dubbed LunarWeb and LunarMail that were used to compromise a European government\'s diplomatic institutions abroad. [...]		 Malware ★★★
SecurityWeek.webp 2024-05-16 11:09:41 Android 15 apporte une amélioration des fraudes et des protections de logiciels malveillants
Android 15 Brings Improved Fraud and Malware Protections (lien direct)		 > Google stimule les protections de fraude et de logiciels malveillants dans Android 15 avec une détection de menace en direct et des paramètres restreints élargis.
>Google is boosting fraud and malware protections in Android 15 with live threat detection and expanded restricted settings. 		Threat Malware Mobile ★★★
bleepingcomputer.webp 2024-05-16 09:28:37 Les pirates Kimsuky déploient une nouvelle porte dérobée Linux en attaques contre la Corée du Sud
Kimsuky hackers deploy new Linux backdoor in attacks on South Korea (lien direct)		 Le groupe de pirates nord-coréen Kimsuki utilise un nouveau logiciel malveillant Linux appelé Gomir qui est une version de la porte dérobée de GoBear livrée via des installateurs de logiciels trojanisés.[...]
The North Korean hacker group Kimsuki has been using a new Linux malware called Gomir that is a version of the GoBear backdoor delivered via trojanized software installers. [...]		 Malware APT 43 ★★★
Blog.webp 2024-05-16 01:02:40 Vipersoftx utilise Tesseract basé sur l'apprentissage en profondeur pour exfiltrater des informations
ViperSoftX Uses Deep Learning-based Tesseract to Exfiltrate Information (lien direct)		 Ahnlab Security Intelligence Center (ASEC) a récemment découvert les attaquants de Vipersoftx utilisant Tesseract pour exfiltrat les utilisateurs & # 8217;Fichiers d'image.Vipersoftx est une souche malveillante responsable de la résidence sur les systèmes infectés et de l'exécution des attaquants & # 8217;commandes ou voler des informations liées à la crypto-monnaie.Le logiciel malveillant nouvellement découvert cette fois utilise le moteur OCR open-source Tesseract.Tesseract extrait des textes d'images utilisant des techniques d'apprentissage en profondeur.Le malware utilisé dans l'attaque lit les images stockées sur les systèmes infectés et extrait les chaînes à l'aide de l'outil Tesseract.Si le ...
AhnLab SEcurity intelligence Center (ASEC) has recently discovered ViperSoftX attackers using Tesseract to exfiltrate users’ image files. ViperSoftX is a malware strain responsible for residing on infected systems and executing the attackers’ commands or stealing cryptocurrency-related information. The malware newly discovered this time utilizes the open-source OCR engine Tesseract. Tesseract extracts texts from images using deep learning techniques. The malware used in the attack reads images stored on the infected systems and extracts strings using the Tesseract tool. If the... 		Malware Tool ★★★
The_Hackers_News.webp 2024-05-15 22:30:00 Android 15 déploie des fonctionnalités avancées pour protéger les utilisateurs des escroqueries et des applications malveillantes
Android 15 Rolls Out Advanced Features to Protect Users from Scams and Malicious Apps (lien direct)		 Google dévoile un ensemble de nouvelles fonctionnalités dans Android 15 pour empêcher les applications malveillantes installées sur l'appareil de capturer des données sensibles. Cela constitue une mise à jour de la & nbsp; Play Integrity API & nbsp; que les développeurs d'applications tiers peuvent profiter pour sécuriser leurs applications contre les logiciels malveillants. "Les développeurs peuvent vérifier s'il existe d'autres applications en cours d'exécution qui pourraient capturer l'écran, créant
Google is unveiling a set of new features in Android 15 to prevent malicious apps installed on the device from capturing sensitive data. This constitutes an update to the Play Integrity API that third-party app developers can take advantage of to secure their applications against malware. "Developers can check if there are other apps running that could be capturing the screen, creating		 Malware Mobile ★★
RiskIQ.webp 2024-05-15 20:41:19 Gitcaught: l'acteur de menace exploite le référentiel Github pour les infrastructures malveillantes
GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure (lien direct)		 ## Instantané Le groupe insikt de l'avenir enregistré a découvert une campagne cybercriminale sophistiquée dirigée par des acteurs de menace russophone du Commonwealth des États indépendants (CIS), en utilisant un profil GitHub pour distribuer des logiciels malveillants sous couvert d'applications logicielles légitimes. ## Description Les applications logicielles comme 1Password, Bartender 5 et Pixelmator Pro ont été usurpées, entre autres.Les variantes de logiciels malveillants observées dans cette campagne comprenaient le voleur de macOS atomique (AMOS) et le vidar.Ils ont été fabriqués pour infiltrer les systèmes et voler des données sensibles, présentant les acteurs en profondeur de la compréhension du développement logiciel et de la confiance des utilisateurs dans ces plateformes.L'analyse de Insikt Group \\ a dévoilé une infrastructure partagée de commandement et de contrôle (C2) parmi ces variantes, indiquant un effort coordonné par un groupe de menaces bien ressourcé capable de lancer des cyberattaques soutenues dans divers systèmes et dispositifs d'exploitation. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-enDPoint / Configure-Block-at-First-Sight-Microsoft-Dender-Antivirus? OCID = MAGICTI_TA_LELARNDOC) dans Microsoft DefEnder Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus du MFA et STRictly [nécessite MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs cliquant sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un exemple. - Rappeler aux employés que l'entreprise ou les informations d'identification en milieu de travail ne doivent pas être stockées dans des navigateurs ou des coffres de mot de passe garantis avec des informations d'identification personnelles.Les organisations peuvent désactiver la synchronisation des mots de passe dans le navigat Threat Ransomware Malware Tool ★★★
RiskIQ.webp 2024-05-15 20:23:43 FIN7 exploite les marques de confiance et les publicités Google pour livrer des charges utiles Malicious MSIX
FIN7 Exploits Trusted Brands and Google Ads to Deliver Malicious MSIX Payloads (lien direct)		 ## Instantané En avril 2024, l'unité de réponse aux menaces d'Esentire a observé plusieurs incidents impliquant FIN7, un groupe cybercriminal à motivation financière. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aeaa4d3565df70afc7c85eae69f74278). ## Description Ces incidents impliquaient l'utilisation de sites Web malveillants imitant des marques bien connues comme AnyDesk, WinSCP, BlackRock et Google Meet.Les utilisateurs qui ont visité ces sites via des publicités Google sponsorisées ont rencontré de faux fenêtres contextuelles les incitant à télécharger une extension de navigateur malveillante emballée sous forme de fichier MSIX.Dans un cas, le rat NetSupport a été livré via un script PowerShell malveillant extrait du fichier MSIX, collectant des informations système et téléchargeant des charges utiles du serveur de commande et de contrôle (C2). Dans un autre cas, les utilisateurs ont téléchargé un faux installateur MSIX à partir de la rencontre du site Web \ [. \] Cliquez, conduisant à l'installation de NetSupport Rat sur leurs machines.Les acteurs de la menace ont ensuite accédé à ces machines via Netsupport Rat, effectuant une reconnaissance et créant de la persistance via des tâches programmées et des charges utiles Python.La charge utile Python impliquait des opérations de décryptage pour exécuter la charge utile diceloader par injection de processus.Ces incidents soulignent la menace continue posée par FIN7, en particulier leur exploitation de noms de marque de confiance et de publicités Web trompeuses pour distribuer des logiciels malveillants. ## Analyse Microsoft Malvertising a fait les gros titres de l'OSINT au cours des derniers mois, car le nombre d'incidents a augmenté et que les acteurs de la menace continuent d'utiliser des techniques de plus en plus sophistiquées pour distribuer des logiciels malveillants et des systèmes de compromis.Un examen des rapports open-source suggère que les organisations cybercriminales sont probablement responsables de la majorité de l'activité de malvertisation car il s'agit d'une tactique rentable qui nécessite une quantité relativement faible d'efforts.De plus, il est difficile de combattre car les réseaux publicitaires légitimes ont du mal à distinguer les publicités nuisibles des dignes de confiance. Microsoft a observé [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3E4A164AD64958B784649928499521808AEA4D3565DF70AFC7C85EAE69F74278) PPORT RAT et Diceloader, entre autres. En savoir plus sur [OSInt Trends in Malvertising] (https://security.microsoft.com/intel-explorer/articles/003295ff) et la tendance plus large des [acteurs de menace motivés financièrement abusant l'installateur de l'application et le format de fichiers MSIX] (HTTPS://security.microsoft.com/intel-explorer/articles/74368091). ## Détections Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: ** Diceloader ** - [* Trojan: win64 / diceloader *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb& ;theatid=-2147194875) ## Recommandations MicroSoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_ta_learndoc), qui identifie et bloCKS MALICIEMS SIBTÉES, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection du réseau] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide& ;ocid=Magic Threat Malware Tool Prediction ★★★
TroyHunt.webp 2024-05-15 16:56:03 SSH Backdoor a infecté 400 000 serveurs Linux sur 15 ans et continue de se propager
SSH backdoor has infected 400,000 Linux servers over 15 years and keeps on spreading (lien direct)		 Embury Bondoors SSH serveurs dans les fournisseurs d'hébergement, donnant aux logiciels malveillants extraordinaires.
Ebury backdoors SSH servers in hosting providers, giving the malware extraordinary reach.		 Malware ★★★
The_Hackers_News.webp 2024-05-15 16:26:00 Embury Botnet Malware compromet 400 000 serveurs Linux au cours des 14 dernières années
Ebury Botnet Malware Compromises 400,000 Linux Servers Over Past 14 Years (lien direct)		 Un botnet malveillant appelé & nbsp; Ebury & nbsp; devrait avoir compromis 400 000 serveurs Linux depuis 2009, dont plus de 100 000 étaient toujours compromis à la fin de 2023. Les résultats proviennent de la société de cybersécurité slovaque ESET, qui l'a caractérisée comme l'une des campagnes malveillantes les plus avancées pour le gain financier. «Les acteurs Evury ont poursuivi les activités de monétisation [...],
A malware botnet called Ebury is estimated to have compromised 400,000 Linux servers since 2009, out of which more than 100,000 were still compromised as of late 2023. The findings come from Slovak cybersecurity firm ESET, which characterized it as one of the most advanced server-side malware campaigns for financial gain. "Ebury actors have been pursuing monetization activities [...],		 Malware ★★★
bleepingcomputer.webp 2024-05-15 15:53:51 Android 15, Google Play Protect Obtenez de nouvelles fonctionnalités anti-malware et anti-fraude
Android 15, Google Play Protect get new anti-malware and anti-fraud features (lien direct)		 Aujourd'hui, Google a annoncé que les nouvelles fonctionnalités de sécurité venant sur Android 15 et Google Play Protect qui aideront à bloquer les escroqueries, la fraude et les applications de logiciels malveillants sur les appareils utilisateurs \\ '.[...]
Today, Google announced new security features coming to Android 15 and Google Play Protect that will help block scams, fraud, and malware apps on users\' devices. [...]		 Malware Mobile ★★
InfoSecurityMag.webp 2024-05-15 15:30:00 L'exploitation PDF cible les utilisateurs du lecteur Foxit
PDF Exploitation Targets Foxit Reader Users (lien direct)		 La RCR a déclaré que les constructeurs d'exploitation de .NET et Python ont été utilisés pour déployer ce malware
CPR said exploit builders in .NET and Python have been employed to deploy this malware		 Threat Malware ★★★
PaloAlto.webp 2024-05-15 13:00:33 Le côté obscur de l'IA en cybersécurité - logiciels malveillants générés par l'AI
The Dark Side of AI in Cybersecurity - AI-Generated Malware (lien direct)		 > Bar Matalon et Rem Dudas ont mis en lumière leurs recherches révolutionnaires sur les logiciels malveillants générés par l'IA et les prédictions pour l'avenir de l'IA en cybersécurité.
>Bar Matalon and Rem Dudas shed light on their groundbreaking research into AI-generated malware and predictions for the future of AI in cybersecurity. 		Malware ★★★
Zimperium.webp 2024-05-15 13:00:00 Bataille de chaque industrie: la menace des logiciels malveillants mobiles sur l'entreprise
Every Industry\\'s Battle: The Threat of Mobile Malware on the Enterprise (lien direct)		 Nos recherches montrent également que les 29 familles de logiciels malveillants que nous avons soulignées dans le rapport de cambriolage ciblent également 478 applications mobiles non bancaires dans 32 catégories.
Our research also shows that the 29 malware families we highlighted in the Heist report also target 478 non-banking mobile applications across 32 categories.  		Threat Malware Mobile ★★★
Last update at: 2024-05-23 18:08:26
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter