What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-12-17 12:12:06 | Les logiciels malveillants du voleur de Rhadamanthys évoluent avec des fonctionnalités plus puissantes Rhadamanthys Stealer malware evolves with more powerful features (lien direct) |
Les développeurs des logiciels malveillants de volée de Rhadamanthys ont récemment publié deux versions principales pour ajouter des améliorations et des améliorations à tous les niveaux, y compris de nouvelles capacités de vol et une évasion améliorée.[...]
The developers of the Rhadamanthys information-stealing malware have recently released two major versions to add improvements and enhancements across the board, including new stealing capabilities and enhanced evasion. [...] |
Malware | ★★★ | |
|
2023-12-17 10:09:18 | QBOT Malware revient dans la campagne ciblant l'industrie hôtelière Qbot malware returns in campaign targeting hospitality industry (lien direct) |
Le logiciel malveillant Qakbot est à nouveau distribué dans des campagnes de phishing après que le botnet a été perturbé par les forces de l'ordre au cours de l'été.[...]
The QakBot malware is once again being distributed in phishing campaigns after the botnet was disrupted by law enforcement over the summer. [...] |
Malware | ★★ | |
 |
2023-12-16 16:40:21 | Nouveau \\ 'nkabuse \\' Linux malware utilise la technologie blockchain pour se propager New \\'NKAbuse\\' Linux Malware Uses Blockchain Technology to Spread (lien direct) |
par deeba ahmed
Le malware, surnommé Nkabuse, utilise un nouveau type de technologie de réseau (NKN), un protocole de réseau pair-to-peer alimenté par la blockchain pour répandre son infection.
Ceci est un article de HackRead.com Lire le post original: new &# 8216; Nkabuse & # 8217;Linux Malware utilise la technologie Blockchain pour se propager
By Deeba Ahmed The malware, dubbed NKAbuse, uses New Kind of Network (NKN) technology, a blockchain-powered peer-to-peer network protocol to spread its infection. This is a post from HackRead.com Read the original post: New ‘NKAbuse’ Linux Malware Uses Blockchain Technology to Spread |
Malware | ★★ | |
|
2023-12-16 11:17:34 | La vulnérabilité NVR VIOSTOR NAPTOR activement exploitée par malware botnet QNAP VioStor NVR vulnerability actively exploited by malware botnet (lien direct) |
Un botnet basé à Mirai nommé \\ 'InfectedSlurs \' exploite une vulnérabilité d'exécution de code distant (RCE) dans QNAP VIOSTORDispositifs NVR (enregistreur vidéo réseau) à détourner et les faire faire partie de son essaim DDOS (déni de service distribué).[...]
A Mirai-based botnet named \'InfectedSlurs\' is exploiting a remote code execution (RCE) vulnerability in QNAP VioStor NVR (Network Video Recorder) devices to hijack and make them part of its DDoS (distributed denial of service) swarm. [...] |
Malware Vulnerability | ★★★ | |
 |
2023-12-15 18:51:00 | Les cyberattaques pro-hamas ont objectif \\ 'PEROGI \\' malware à plusieurs cibles du Moyen-Orient Pro-Hamas Cyberattackers Aim \\'Pierogi\\' Malware at Multiple Mideast Targets (lien direct) |
Gaza Cybergang a créé une nouvelle version de porte dérobée remplie d'outils pour espionner et attaquer des cibles.
Gaza Cybergang has created a new backdoor version stuffed with tools to spy on and attack targets. |
Malware Tool | ★★★ | |
|
2023-12-15 18:20:00 | Complexe \\ 'nkabuse \\' Les logiciels malveillants utilisent la blockchain pour se cacher sur les machines Linux, IoT Complex \\'NKAbuse\\' Malware Uses Blockchain to Hide on Linux, IoT Machines (lien direct) |
Le logiciel malveillant multiforme exploite le protocole de réseautage entre pairs basé sur la blockchain NKN, fonctionnant à la fois comme une porte arrière sophistiquée et un inondateur lançant des attaques DDOS.
The multifaceted malware leverages the NKN blockchain-based peer-to-peer networking protocol, operating as both a sophisticated backdoor and a flooder launching DDoS attacks. |
Malware | ★★ | |
 |
2023-12-15 14:28:05 | Blockchain Blockchain Blockchain de Nkabuse pour frapper plusieurs architectures NKabuse backdoor harnesses blockchain brawn to hit several architectures (lien direct) |
Nouveaux adapts de logiciels malveillants délivre des attaques DDOS et fournit des fonctionnalités de rat Les répondeurs incidents disent qu'ils ont trouvé un nouveau type de logiciels malveillants multiplateformes abusant du nouveau type de protocole de réseau (NKN)… | Malware | ★★ | |
 |
2023-12-15 10:55:00 | New Nkabuse Malware exploite NKN Blockchain Tech pour les attaques DDOS New NKAbuse Malware Exploits NKN Blockchain Tech for DDoS Attacks (lien direct) |
Une nouvelle menace multi-plate-forme appelée & nbsp; nkabuse & nbsp; a été découverte en utilisant un protocole de connectivité réseau décentralisé et peer-to-peer appelé & nbsp; nkn & nbsp; (abréviation du nouveau type de réseau) comme canal de communication.
"Le logiciel malveillant utilise la technologie NKN pour l'échange de données entre les pairs, le fonctionnement comme un implant puissant et équipé de capacités à la fois des inondateurs et de la porte dérobée", russe
A novel multi-platform threat called NKAbuse has been discovered using a decentralized, peer-to-peer network connectivity protocol known as NKN (short for New Kind of Network) as a communications channel. "The malware utilizes NKN technology for data exchange between peers, functioning as a potent implant, and equipped with both flooder and backdoor capabilities," Russian |
Threat Malware | ★★ | |
|
2023-12-15 01:31:05 | Systèmes infectés contrôlés par des outils d'administration à distance (détectés par EDR) Infected Systems Controlled Through Remote Administration Tools (Detected by EDR) (lien direct) |
Les outils d'administration à distance sont des logiciels pour gérer et contrôler les terminaux dans des endroits distants.Les outils peuvent être utilisés comme solutions de travail à domicile dans des circonstances telles que la pandémie Covid-19 et dans le but de contrôler, de gérer et de réparer les appareils sans pilote à distance.Ces outils de télécommande utilisés à des fins légitimes sont appelés rat, ce qui signifie & # 8220; outils d'administration à distance. & # 8221;De plus, les types de logiciels malveillants de porte dérobée tels que Remcos Rat, NJRAT, Quasar Rat et Avemaria sont appelés chevaux de Troie à distance (rat) parce que ceux-ci le rendent également ...
Remote administration tools are software for managing and controlling terminals at remote locations. The tools can be used as work-at-home solutions in circumstances such as the COVID-19 pandemic and for the purpose of controlling, managing, and repairing unmanned devices remotely. Such remote control tools used for legitimate purposes are called RAT, meaning “Remote Administration Tools.” Additionally, backdoor malware types such as Remcos RAT, njRAT, Quasar RAT, and AveMaria are called Remote Access Trojans (RAT) because these also make it possible... |
Malware Tool | ★★ | |
 |
2023-12-14 21:32:32 | Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) | #### Description
Depuis octobre 2023, TA4557 cible les recruteurs avec des e-mails directs qui mènent à la livraison de logiciels malveillants.Les courriels initiaux sont bénins et expriment leur intérêt pour un rôle ouvert.Si la cible répond, la chaîne d'attaque commence.
TA4557 a utilisé à la fois la nouvelle méthode d'envoyer des courriels recruteurs ainsi que l'ancienne technique de postulation à des emplois publiés sur des services d'emploi publics pour commencer la chaîne d'attaque.Une fois que le destinataire a répondu à l'e-mail initial, l'acteur a été observé en répondant avec une URL liant à un site Web contrôlé par l'acteur se faisant passer pour un curriculum vitae candidat.Si les victimes potentielles visitent le «site Web personnel» comme indiqué par l'acteur de menace, la page imite un curriculum vitae d'un candidat ou un chantier pour le candidat (TA4557) postule pour un rôle affiché.Le site Web utilise le filtrage pour déterminer s'il faut diriger l'utilisateur vers l'étape suivante de la chaîne d'attaque.Si la victime potentielle ne passe pas les vérifications de filtrage, elle est dirigée vers une page contenant un curriculum vitae en texte brut.Alternativement, s'ils passent les chèques de filtrage, ils sont dirigés vers le site Web des candidats.
Le site Web des candidats utilise un captcha qui, s'il est terminé, lancera le téléchargement d'un fichier zip contenant un fichier de raccourci (LNK).Le LNK, s'il est exécuté, abuse des fonctions logicielles légitimes dans "ie4uinit.exe" pour télécharger et exécuter un script à partir d'un emplacement stocké dans le fichier "ie4uinit.inf".Cette technique est communément appelée «vivre de la terre» (LOTL).Le scriptlet déchiffre et laisse tomber une DLL dans le dossier% AppData% \ Microsoft.Ensuite, il tente de créer un nouveau processus RegSRV32 pour exécuter la DLL à l'aide de Windows Management Instrumentation (WMI) et, si cela échoue, essaie une approche alternative à l'aide de la méthode de run d'objet ActiveX.La DLL utilise des techniques de sous-sanche et d'anti-analyse.Il intègre une boucle spécifiquement conçue pour récupérer la clé RC4 nécessaire pour déchiffrer la porte dérobée More_Eggs.Cette boucle est stratégiquement conçue pour prolonger son temps d'exécution, améliorant ses capacités d'évasion dans un environnement de bac à sable.En outre, la DLL utilise plusieurs vérifications pour déterminer si elle est actuellement en cours de débogage, en utilisant la fonction NTQueryInformationProcess.La DLL laisse tomber la porte dérobée More_Eggs avec l'exécutable MSXSL.Par la suite, il initie la création du processus MSXSL à l'aide du service WMI.
#### URL de référence (s)
1. https://www.proofpoint.com/us/blog/thereat-insight/security-brieF-TA4557-Targets-recruteurs
#### Date de publication
14 décembre 2023
#### Auteurs)
Kelsey Merriman
Selena Larson
Xavier Chambrier
#### Description Since October 2023, TA4557 has been targeting recruiters with direct emails that lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pa |
Threat Malware | ★★ | |
|
2023-12-14 20:56:00 | 116 packages de logiciels malveillants trouvés sur le référentiel PYPI infectant Windows et Systems Linux 116 Malware Packages Found on PyPI Repository Infecting Windows and Linux Systems (lien direct) |
Les chercheurs en cybersécurité ont identifié un ensemble de 116 packages malveillants sur le référentiel Python Package Index (PYPI) conçu pour infecter Windows et Systems Linux avec une porte dérobée personnalisée.
"Dans certains cas, la charge utile finale est une variante de l'infâme & nbsp; W4SP Stealer, ou un simple moniteur de presse-papiers pour voler la crypto-monnaie, ou les deux", chercheurs ESET Marc-Etienne M.L & Eacute; Veill & eacute;et René
Cybersecurity researchers have identified a set of 116 malicious packages on the Python Package Index (PyPI) repository that are designed to infect Windows and Linux systems with a custom backdoor. "In some cases, the final payload is a variant of the infamous W4SP Stealer, or a simple clipboard monitor to steal cryptocurrency, or both," ESET researchers Marc-Etienne M.Léveillé and Rene |
Malware | ★★ | |
|
2023-12-14 19:31:00 | NOUVEAU PEROGI ++ MALWOWIRES PAR GAZA CYBER GANG ciblant les entités palestiniennes New Pierogi++ Malware by Gaza Cyber Gang Targeting Palestinian Entities (lien direct) |
Un acteur de menace pro-Hamas, connu sous le nom de & nbsp; Gaza Cyber Gang & nbsp; cible des entités palestiniennes en utilisant une version mise à jour d'une porte dérobée surnommée Pierogi.
Les résultats proviennent de Sentinelone, qui a donné au malware le nom Pierogi ++ en raison du fait qu'il ait implémenté dans le langage de programmation C ++ contrairement à son prédécesseur basé sur Delphi- et Pascal.
"Récent montrent les activités de Gaza Cybergang
A pro-Hamas threat actor known as Gaza Cyber Gang is targeting Palestinian entities using an updated version of a backdoor dubbed Pierogi. The findings come from SentinelOne, which has given the malware the name Pierogi++ owing to the fact that it\'s implemented in the C++ programming language unlike its Delphi- and Pascal-based predecessor. "Recent Gaza Cybergang activities show |
Threat Malware | ★★★ | |
 |
2023-12-14 18:55:10 | Microsoft élimine des domaines vendant de faux comptes Outlook Microsoft Takes Down Domains Selling Fake Outlook Accounts (lien direct) |
Microsoft a annoncé mercredi qu'il avait saisi des sites Web illicites et des pages de médias sociaux appartenant au groupe de cybercriminaux basé au Vietnam Storm-1152 a créé environ 750 millions de comptes d'Outlook frauduleux et a gagné des millions de dollars de revenus illégaux. Le géant de Redmond appelle Storm-1152, un écosystème de cybercriminalité en tant que service (CAAS), «le vendeur et créateur numéro un de comptes Microsoft frauduleux» qui les a bien vendues en ligne à d'autres cybercriminels pour contourner les logiciels de vérification d'identité à travers bien à travers- Plateformes technologiques connues. Ces comptes ont été utilisés pour plusieurs activités malveillantes, notamment le phishing de masse, le vol d'identité et la fraude, et les attaques de déni de service (DDOS) distribuées. «Storm-1152 gère des sites Web illicites et des pages de médias sociaux, vendant des comptes et des outils frauduleux Microsoft pour contourner les logiciels de vérification d'identité sur des plateformes technologiques bien connues.Ces services réduisent le temps et les efforts nécessaires pour que les criminels mettent en ligne une multitude de comportements criminels et abusifs », Amy Hogan-Burney, directrice générale de l'unité des crimes numériques de Microsoft \\ (DCU), a écrit dans un article de blog. Selon Microsoft, Octo Tempest, également connu sous le nom de Spanded Spider, est l'un des clients de Storm-1152 \\ qui ont obtenu des comptes de Microsoft frauduleux pour mener des attaques d'ingénierie sociale visant à l'extorsion financière.Outre Octo Tempest, des acteurs de menace tels que Storm-0252, Storm-0455 et d'autres groupes de ransomware ou d'extorsion ont également acheté des comptes frauduleux de Storm-1152. Le 7 décembre 2023, le géant de Redmond a obtenu une ordonnance du tribunal du district sud de New York pour saisir l'infrastructure basée aux États-Unis de la cybercriminalité construite sur l'intelligence recueillie sur les CAA et ses activités et infrastructures par Microsoftet la société de sécurité et de sécurité des bots Arkose Labs. «Depuis au moins 2021, les défendeurs se sont engagés dans un plan pour obtenir des millions de comptes de messagerie Microsoft Outlook au nom des utilisateurs fictifs en fonction d'une série de fausses représentations, puis vendent ces comptes frauduleux à des acteurs malveillants pour une utilisationdans divers types de cybercriminalité », selon le plainte . Sur la base de la commande, Microsoft a repris des domaines tels que Hotmailbox [.] Moi, 1stcaptcha, anycaptcha et non ecaptcha, ainsi que des comptes de médias sociaux qui ont été utilisés par Storm-1152 pour nuire aux clients de la société etcauser des dommages-intérêts d'une valeur de centaines de milLions de dollars. La société a également poursuivi trois individus & # 8211;Duong Dinh Tu, Linh Van Nguyen (A / K / A Nguyen Van Linh) et Tai Van Nguyen & # 8211;tous basés à VIEtnam et censé être opérant Storm-1152. "Nos résultats montrent que ces personnes ont exploité et rédigé le code pour les sites Web illicites, publié des instructions détaillées étape par étape sur la façon d'utiliser leurs produits via des didacticiels vidéo et ont fourni des services de chat pour aider ceux qui utilisent leurs services frauduleux", a ajoutéAmy Hogan-Burney. & # 8220; Aujourd'hui, l'action est une continuation de la stratégie de Microsoft pour viser l'écosystème cybercriminal plus large et cibler les outils que les cybercriminaux utilisent pour lancer leurs attaques.Il s'appuie sur notre exp | Threat Ransomware Malware Tool | ★★★ | |
|
2023-12-14 18:00:00 | Le groupe de pétrole parrainé par l'État iranien déploie 3 nouveaux téléchargeurs de logiciels malveillants Iranian State-Sponsored OilRig Group Deploys 3 New Malware Downloaders (lien direct) |
L'acteur de menace parrainé par l'État iranien connu sous le nom de & nbsp; Oilrig & nbsp; a déployé trois logiciels malveillants de téléchargeur différents tout au long de 2022 pour maintenir un accès persistant aux organisations de victimes situées en Israël.
Les trois nouveaux téléchargeurs ont été nommés Odagent, OilCheck et Oilbooster par la Slovak Cybersecurity Company ESET.Les attaques ont également impliqué l'utilisation d'une version mise à jour d'un téléchargeur de pétrole connu
The Iranian state-sponsored threat actor known as OilRig deployed three different downloader malware throughout 2022 to maintain persistent access to victim organizations located in Israel. The three new downloaders have been named ODAgent, OilCheck, and OilBooster by Slovak cybersecurity company ESET. The attacks also involved the use of an updated version of a known OilRig downloader |
Threat Malware | APT 34 | ★★ |
 |
2023-12-14 17:51:39 | Dix ans plus tard, de nouveaux indices dans la violation cible Ten Years Later, New Clues in the Target Breach (lien direct) |
Le 18 décembre 2013, KrebsSonsecurity a annoncé la nouvelle que le géant du commerce de détail américain Target se battait contre une grande intrusion d'ordinateur qui a compromis plus de 40 millions de cartes de paiement client au cours du mois précédent.Les logiciels malveillants utilisés dans la violation cible comprenaient la chaîne de texte "Rescator", qui était également la poignée choisie par le cybercriminé qui vendait toutes les cartes volées à des clients cibles.Dix ans plus tard, KrebsSonsecurity a découvert de nouveaux indices sur l'identité réelle de la sécurisation.
On Dec. 18, 2013, KrebsOnSecurity broke the news that U.S. retail giant Target was battling a wide-ranging computer intrusion that compromised more than 40 million customer payment cards over the previous month. The malware used in the Target breach included the text string "Rescator," which also was the handle chosen by the cybercriminal who was selling all of the cards stolen from Target customers. Ten years later, KrebsOnSecurity has uncovered new clues about the real-life identity of Rescator. |
Malware | ★★★★ | |
|
2023-12-14 17:15:12 | Nouveaux abus de logiciels malveillants Nkabuse NKN Blockchain pour les communications furtives New NKAbuse malware abuses NKN blockchain for stealthy comms (lien direct) |
Un nouveau logiciel malveillant multiplateforme basé sur GO identifié comme \\ 'nkabuse \' est la première technologie NKN (nouveau type de réseau) pour l'échange de données, ce qui en fait une menace furtive.[...]
A new Go-based multi-platform malware identified as \'NKAbuse\' is the first malware abusing NKN (New Kind of Network) technology for data exchange, making it a stealthy threat. [...] |
Threat Malware | ★★ | |
 |
2023-12-14 16:30:00 | Les pirates liés à l'Iran développent de nouveaux téléchargeurs de logiciels malveillants pour infecter les victimes en Israël Iran-linked hackers develop new malware downloaders to infect victims in Israel (lien direct) |
Un groupe de cyber-espionnage lié au gouvernement iranien a développé plusieurs nouveaux téléchargeurs de logiciels malveillants au cours des deux dernières années et les a récemment utilisés pour cibler des organisations en Israël.Des chercheurs de la société Slovaquie ESET attribué Les téléchargeurs nouvellement découverts au groupe iranien de menace persistant avancé Oilrig, également connu sous le nom d'APT34.Selon les rapports précédents
A cyber-espionage group linked to the Iranian government developed several new malware downloaders over the past two years and has recently been using them to target organizations in Israel. Researchers at the Slovakia-based company ESET attributed the newly discovered downloaders to the Iranian advanced persistent threat group OilRig, also known as APT34. Previous reports said |
Threat Malware | APT 34 | ★★ |
 |
2023-12-14 15:46:49 | Dragos révèle l'attaque électrique de l'électrum contre l'entité électrique ukrainienne à l'aide d'outils personnalisés, un malware de caddywiper Dragos reveals Electrum October attack on Ukrainian electric entity using custom tools, CaddyWiper malware (lien direct) |
> La société de cybersécurité industrielle Dragos a lié la divulgation récente de Mandiant d'un incident cyber-physique à l'acteur de menace lié à la Russie ...
>Industrial cybersecurity company Dragos has linked Mandiant’s recent disclosure of a cyber-physical incident to the Russia-linked threat actor... |
Threat Malware Tool | ★★★ | |
 |
2023-12-14 14:44:33 | (Déjà vu) November 2023\'s Most Wanted Malware: New AsyncRAT Campaign Discovered while FakeUpdates Re-Entered the Top Ten after Brief Hiatus (lien direct) | novembre 2023 \'s Most Weted Malewware: New Asyncrat Campaign découvert tandis que FakeUpdates est revenue dans les dix premiers après un bref hiatus
Des chercheurs ont rendu compte d'une nouvelle campagne asyncrat où des fichiers HTML malveillants étaient utilisés pour diffuser les logiciels malveillants furtifs.Pendant ce temps, le téléchargeur FakeUpdates a sauté directement à la deuxième place après une courte pause de la liste des dix premières
-
mise à jour malveillant
November 2023\'s Most Wanted Malware: New AsyncRAT Campaign Discovered while FakeUpdates Re-Entered the Top Ten after Brief Hiatus Researchers reported on a new AsyncRAT campaign where malicious HTML files were being used to spread the stealthy malware. Meanwhile, downloader FakeUpdates jumped straight into second place after a short break from the top ten list - Malware Update |
Malware | ★★ | |
|
2023-12-14 14:40:02 | Dix nouveaux chevaux de Troie bancaires Android ont ciblé 985 applications bancaires en 2023 Ten new Android banking trojans targeted 985 bank apps in 2023 (lien direct) |
Cette année a vu l'émergence de dix nouvelles familles de logiciels malveillants en banque Android, qui ciblent collectivement 985 applications bancaires et fintech / trading des instituts financiers dans 61 pays.[...]
This year has seen the emergence of ten new Android banking malware families, which collectively target 985 bank and fintech/trading apps from financial institutes across 61 countries. [...] |
Malware Mobile | ★★ | |
|
2023-12-14 14:34:52 | Le rapport de bancs bancaires mobiles de Zimperium \\ en 2023 trouve 29 familles de logiciels malveillants ciblés 1 800 applications bancaires dans 61 pays au cours de la dernière année Zimperium\\'s 2023 Mobile Banking Heist Report Finds 29 Malware Families Targeted 1,800 Banking Apps Across 61 Countries in the Last Year (lien direct) |
Le rapport de casse bancaire mobile de Zimperium \\ est de 29 familles de logiciels malveillants ciblés 1 800 applications bancaires dans 61 pays au cours de l'année dernière
Le paysage de la menace montre que les investissements continus par des acteurs de menace motivés financièrement pour «suivre l'argent», car les services bancaires via une application mobile deviennent de plus en plus omniprésents
-
mise à jour malveillant
Zimperium\'s 2023 Mobile Banking Heist Report Finds 29 Malware Families Targeted 1,800 Banking Apps Across 61 Countries in the Last Year Threat landscape shows continued investment by threat actors financially motivated to “follow the money” as banking via a mobile app becomes increasingly ubiquitous - Malware Update |
Threat Malware Mobile | ★★ | |
 |
2023-12-14 13:00:49 | Dévoiler les nouvelles menaces: Rhadamanthys V0.5.0 Un aperçu de la recherche par Check Point Research (RCR) Unveiling the New Threats: Rhadamanthys v0.5.0 A Research Overview by Check Point Research (CPR) (lien direct) |
> Insights clés: & middot;La menace évolutive: le sceau de Rhadamanthys, un logiciel malveillant multicouche, est maintenant disponible dans sa dernière itération, version 0.5.0, améliorant ses capacités et introduisant de nouvelles fonctions d'espionnage.& Middot;Personnalisable et dangereux: son système de plugin lui permet d'être adapté à divers besoins malveillants, en continuant à utiliser les formats XS1 et XS2 pour ses modules.& Middot;Analyse des experts de la recherche sur le point de vérification: la RCR fournit une ventilation détaillée des composantes du voleur, offrant un aperçu de leur fonctionnement et de leur impact potentiel.Comprendre Rhadamanthys: Un look complet Rhadamanthys, un voleur d'informations avancé, est connu pour ses modules à multiples facettes et sa conception en couches.[& # 8230;]
>Key Insights: · The Evolving Threat: The Rhadamanthys stealer, a multi-layered malware, is now available in its latest iteration, version 0.5.0, enhancing its capabilities and introducing new spying functions. · Customizable and Dangerous: Its plugin system allows it to be tailored for various malicious needs, continuing to use the XS1 and XS2 formats for its modules. · Check Point Research’s Expert Analysis: CPR provides a detailed breakdown of the stealer’s components, offering insights into how they operate and their potential impact. Understanding Rhadamanthys: A Comprehensive Look Rhadamanthys, an advanced information stealer, is known for its multifaceted modules and layered design. […] |
Threat Malware | ★★ | |
 |
2023-12-14 13:00:40 | Dévoiler NKABUSE: Une nouvelle menace multiplateforme abusant du protocole NKN Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol (lien direct) |
Nous avons découvert une nouvelle menace multiplateforme nommée «Nkabuse».Le logiciel malveillant utilise la technologie NKN pour l'échange de données entre les pairs, fonctionnant comme un implant puissant et équipé de capacités à la fois avec des inondateurs et des porte-porte.
We uncovered a novel multiplatform threat named “NKAbuse”. The malware utilizes NKN technology for data exchange between peers, functioning as a potent implant, and equipped with both flooder and backdoor capabilities. |
Threat Malware | ★★ | |
|
2023-12-14 13:00:00 | Rhadamanthys V0.5.0 & # 8211;une plongée profonde dans les composants du voleur Rhadamanthys v0.5.0 – a deep dive into the stealer\\'s components (lien direct) |
> Recherche de: Hasherezade met en évidence l'introduction Rhadamanthys est un voleur d'informations avec un ensemble diversifié de modules et une conception multicouche intéressante.Dans notre dernier article sur Rhadamanthys [1], nous nous sommes concentrés sur les formats exécutables personnalisés utilisés par ce logiciel malveillant et leur similitude avec une famille différente, Hidden Bee, qui est très probablement son prédécesseur.Dans [& # 8230;]
>Research by: hasherezade Highlights Introduction Rhadamanthys is an information stealer with a diverse set of modules and an interesting multilayered design. In our last article on Rhadamanthys [1], we focused on the custom executable formats used by this malware and their similarity to a different family, Hidden Bee, which is most likely its predecessor. In […] |
Malware | ★★ | |
 |
2023-12-14 11:00:00 | Protéger l'entreprise des fuites de mot de passe Web sombres Protecting the enterprise from dark web password leaks (lien direct) |
Referenced in popular films and television programs, “The Dark Web” has achieved what many cyber security concerns fail to do in that it has entered the public consciousness. It is generally understood that the dark web is a collection of on-line sites and marketplaces, notorious for facilitating illegal activities and harboring stolen information. The details of how this underground economy function, the various levels of sophistication of its participants, and how information ends up in these forums is less broadly understood. The trade in compromised passwords in dark web markets is particularly damaging. Cybercriminals often exploit password leaks to access sensitive data, commit fraud or launch further attacks. Let’s explore the various ways passwords are leaked to the dark web and discuss strategies for using dark web data to protect your organization. Data breaches One of the most common ways passwords are leaked to the dark web is through data breaches. Cybercriminals target organizations and gain unauthorized access to their systems and databases. Once inside, they can steal large volumes of user data, including passwords, which are then sold or traded on the dark web. A “first party” data breach is when that breach occurs in a network you are responsible for (i.e. your company). This is typically a top-of-mind concern for security and IT professionals. However, breaches of third parties that hold information about your users can be equally damaging. Because users often reuse passwords across multiple services, or use slight variations or formulaic passwords, these disclosures are critical. They result in threat actors gaining access to your network or SaaS services by simply logging or through brute forcing a greatly reduced key space which may go unnoticed. Phishing attacks Phishing attacks are another prevalent method used by cybercriminals to obtain passwords. These attacks involve sending deceptive emails, text messages, or social media messages that trick users into revealing their login credentials. Once the attacker has the victim\'s password, they can easily access their accounts or sell the information on the dark web. Keyloggers and malware Keyloggers and malware are stealthy tools used by cybercriminals to record a user\'s keystrokes, including passwords. These can be installed on a victim\'s device through malicious emails, downloads, or infected websites. This is particularly concerning in cases where the endpoints in question are not fully managed by the company. Contractors, network devices provided by service providers, users with BYOD equipment or other semi-public or public devices users might access a cloud service from are all examples of devices which can result in loss of credentials because of malware infection - regardless of the endpoint security measures taken on company owned devices. What is particularly insidious about these infections is that, unless addressed, they continue to report current credentials up to the command-and-control services across password changes and platforms. Insider threats Sometimes, passwords are leaked to the dark web through insider threats. Disgruntled employees, contractors, or other individuals with access to sensitive information may intentionally leak passwords as an act of revenge or for financial gain. Protecting Your Passwords: Best Practices While the risks associated with password leaks on the dark web are real, there are steps you can take to protect your organization from being impacted by these disclosures: Educate users: By now it is difficult to find an organization that doesn’t have a policy and technical controls to enforce the use of strong passwords in their environment. Building on that to train users when it is acceptable to use a company provide email address for service | Threat Data Breach Malware Cloud Tool Technical | ★★ | |
|
2023-12-14 10:20:13 | (Déjà vu) Classement Top Malware Check Point - Novembre 2023 (lien direct) | Classement Top Malware Check Point - Novembre 2023 • Découverte d'une nouvelle campagne AsyncRAT, un cheval de Troie enregistreur de frappe et voleur de mot de passe • Retour de FakeUpdates dans le Top 3 des principaux malwares après une courte sortie du classement Les chercheurs Check Point ont signalé une nouvelle campagne AsyncRAT qui utilise des fichiers HTML malveillants pour diffuser le malware furtif éponyme. Dans le même temps, le téléchargeur FakeUpdates est passé directement à la deuxième place après être sorti du classement des principaux malwares mondiaux pendant deux mois - Malwares | Malware Studies | ★★ | |
 |
2023-12-14 09:28:59 | Classement Top Malware Check Point – Novembre 2023 : découverte de AsyncRAT, un cheval de Troie enregistreur de frappe et voleur de mot de passe (lien direct) | >Les chercheurs Check Point ont signalé une nouvelle campagne AsyncRAT qui utilise des fichiers HTML malveillants pour diffuser le malware furtif éponyme. Dans le même temps, le téléchargeur FakeUpdates est passé directement à la deuxième place après être sorti du classement des principaux malwares mondiaux pendant deux mois. Check Point® Software Technologies Ltd., l'un des […] The post Classement Top Malware Check Point – Novembre 2023 : découverte de AsyncRAT, un cheval de Troie enregistreur de frappe et voleur de mot de passe first appeared on UnderNews. | Malware | ★ | |
 |
2023-12-14 09:00:56 | La détection de code QR malveillant fait un bond en avant géant Malicious QR Code Detection Takes a Giant Leap Forward (lien direct) |
Proofpoint introduces inline, pre-delivery QR code detection engine to help protect against imaged-based QR code phishing attacks QR code phishing, also known as quishing, is the latest attack hitting inboxes. This emerging threat is able to get around traditional email defenses and is forging a new way to deliver email attacks directly to users. Along with email phishing, executive impersonation, spear phishing and business email compromise (BEC), this threat has become one of the top concerns for security and IT teams. In response, Proofpoint has launched new inline sandboxing capabilities to detect and stop suspicious QR code threats. Not only do we support behavioral and sandbox detection engines, but we also provide pre- and post-scanning for risky QR codes. When combined, these capabilities more accurately detect and better protect against this new threat vector. Most API-based email security tools rely on behavioral signals, which means they can only detect a suspicious QR code email after it has been delivered to the user\'s inbox. In contrast, Proofpoint stops attacks pre-delivery, so threats can never make it to users\' inboxes. In this blog post, we\'ll cover what you should know about QR code phishing and detection-and how Proofpoint can help. Why QR codes? When Microsoft disabled macros to prevent threat actors from exploiting them to deliver malware, threat actors started to test various new attack delivery techniques, such as QR codes. Used by marketers as a quick and easy way to connect with consumers and drive engagement, QR codes have become a part of our daily lives and are now used in retail stores, airline tickets, contactless menus and scan-to-pay, among many others. While it\'s common knowledge that standard QR codes can be used in malicious ways, a recent Scantrust QR code survey found that “over 80% of US-based QR code users said that they think QR codes are safe.” It\'s this inherent trust of QR codes that threat actors depend on. That and the fact that QR codes do not expose malicious URLs make them very hard detect with traditional email security tools. What is QR code phishing? A QR code scam is when a bad actor creates a QR code phishing campaign to trick a user into navigating to a malicious URL. This leads them to a malicious website that then harvests their credentials or downloads malware onto their device. These campaigns include payment scams, package scams, email scams and even donation scams during the holiday season. Because all QR codes look similar, users are easily fooled. Figure 1: How a QR scam typically works. Why are QR codes getting through? Legacy email security providers and most API-based email security tools have a very difficult time detecting these attacks. That\'s because these tools scan email messages for known malicious links-they don\'t scan images for links that are hidden inside QR code images. This attack method also creates a new security blind spot. QR codes are scanned by a separate device, like a smartphone, from where the email is delivered. And smartphones are less likely to have robust security protection, which is needed to detect and prevent these attacks. For this reason, it\'s essential that an email security tool detects and blocks QR code phishing emails before they reach users\' inboxes. When messages are scanned post-delivery, like with API-based tools, there\'s a chance that users will get to them first-before they\'re clawed back. Post-delivery-only detection risks Post-delivery-only email security tools claim to “detect and block” QR code phishing emails, but they simply cannot. While they may “detect” a suspicious QR code email, it\'s only after the threat has been delivered to the user\'s inbox. Moreover, these tools do not sandbox suspicious QR codes. This means they have a high miss rate-which creates more risk for your company. Besides creating more risk, they also create more work for your teams. By relying solely on behavioral anomalies, these tools | Threat Malware Cloud Tool Mobile | ★★★ | |
 |
2023-12-14 08:55:52 | Formulaires Google utilisés dans l'escroquerie de phishing de rappel Google Forms Used in Call-Back Phishing Scam (lien direct) |
Ce qui s'est passé?Les chercheurs de la société de sécurité par courrier électronique ANORMAL ont découvert la dernière évolution des campagnes de phishing de rappel.Phishing de rappel?Les e-mails de phishing traditionnels peuvent contenir un lien ou une pièce jointe malveillante et attirer les destinataires à cliquer dessus via des techniques d'ingénierie sociale.Le phishing de rappel dupe les victimes sans méfiance pour téléphoner à un centre d'appels frauduleux, où ils parleront à un être humain réel - qui les incitera ensuite à télécharger et à exécuter des logiciels malveillants, offrant aux pirates malveillants un accès à distance à leur PC.Comment serais-je trompé pour appeler ...
What\'s happened? Researchers at email security firm Abnormal have discovered the latest evolution in call-back phishing campaigns . Call-back phishing? Traditional phishing emails might contain a malicious link or attachment, and lure recipients into clicking on them via social engineering techniques. Call-back phishing dupes unsuspecting victims into telephoning a fraudulent call centre, where they will speak to an actual human being - who will then trick them into downloading and running malware, providing malicious hackers with remote access to their PC. How would I be tricked into calling... |
Malware | ★★★ | |
|
2023-12-13 22:43:39 | Avira Antivirus fait geler les PC Windows lors du démarrage Avira Antivirus Is Causing Windows PCs To Freeze Upon Boot-Up (lien direct) |
Avira, l'un des programmes antivirus les plus populaires pour Windows PCS, provoque le gel des ordinateurs de Windows lors d'une récente mise à jour d'Avira. Le problème fait que les utilisateurs affectés ont évacué leur colère et leur frustration sur reddit et Avira & # 8217; s Propre Forums Customer Avec la plupart des utilisateurs, se plaignant que leurs machines Windows se figent lors du démarrage du démarrage du début-Up juste après que l'application Avira se charge. Cela a conduit de nombreux utilisateurs à se désabonner du programme pour éviter le problème inattendu. & # 8220; Aujourd'hui, mon PC a soudainement commencé à geler le démarrage.J'ai essayé de désactiver toutes les applications d'arrière-plan jusqu'à ce que seul Avira reste.2 autres personnes que je connais ont eu le même problème (les deux ont Avira).Correction de le startup en toute sécurité et désinstalle Avira.Ceci avec le Booster du jeu (que nous n'avons pas permis de prendre un retard (a pris une éternité pour comprendre la cause) et le soutien horrible, je annulerai mon abonnement et gardant Avira désinstallé », a écrit un Redditor u / kiiniiwiini . & # 8220; donc mon ordinateur (Win 10) fonctionnait très bien il y a 2 jours, je le laisse généralement en marche.(Je n'ai apporté aucune modification à rien) Je suis allé l'utiliser ce soir et commencer complètement à geler et je ne chargerai rien, & # 8221;a écrit un autre redditor r / techsuport r / techsuport | Malware | ★★ | |
|
2023-12-13 19:34:57 | Opération forgeron: Lazarus cible les organisations du monde Operation Blacksmith: Lazarus Targets Organizations Worldwide Using Novel Telegram-Based Malware Written in DLang (lien direct) |
#### Description
Cisco Talos a découvert une nouvelle campagne menée par le groupe Lazare, appelé "Operation Blacksmith", qui emploie au moins trois nouvelles familles de logiciels malveillants basés sur Dlang, dont deux sont des chevaux de Troie (rats), où l'un d'eux utilise des robots télégrammes etcanaux comme moyen de communications de commandement et de contrôle (C2).
Les rats sont nommés "ninerat" et "dlrat", et le téléchargeur s'appelle "Bottomloader".La campagne consiste en un ciblage opportuniste continu des entreprises à l'échelle mondiale qui hébergent et exposent publiquement leur infrastructure vulnérable à l'exploitation de la vulnérabilité des jours tels que CVE-2021-44228 (log4j).Lazare a ciblé les sociétés de fabrication, d'agriculture et de sécurité physique.Le malware est écrit dans DLANG, indiquant un changement définitif dans les TTP des groupes APT qui relèvent du parapluie de Lazare, l'adoption accrue de logiciels malveillants étant rédigée à l'aide de cadres non traditionnels tels que le framework QT, y compris MagicRat et Quiterat.
#### URL de référence (s)
1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/
#### Date de publication
11 décembre 2023
#### Auteurs)
Jungsoo an
#### Description Cisco Talos has discovered a new campaign conducted by the Lazarus Group, called "Operation Blacksmith," which employs at least three new DLang-based malware families, two of which are remote access trojans (RATs), where one of these uses Telegram bots and channels as a medium of command and control (C2) communications. The RATs are named "NineRAT" and "DLRAT," and the downloader is called "BottomLoader." The campaign consists of continued opportunistic targeting of enterprises globally that publicly host and expose their vulnerable infrastructure to n-day vulnerability exploitation such as CVE-2021-44228 (Log4j). Lazarus has targeted manufacturing, agricultural, and physical security companies. The malware is written in DLang, indicating a definitive shift in TTPs from APT groups falling under the Lazarus umbrella with the increased adoption of malware being authored using non-traditional frameworks such as the Qt framework, including MagicRAT and QuiteRAT. #### Reference URL(s) 1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ #### Publication Date December 11, 2023 #### Author(s) Jungsoo An |
Malware Vulnerability | APT 38 | ★★★ |
|
2023-12-13 17:32:00 | Comment analyser le trafic réseau de malware \\ dans un bac à sable How to Analyze Malware\\'s Network Traffic in A Sandbox (lien direct) |
L'analyse des logiciels malveillants englobe un large éventail d'activités, notamment en examinant le trafic réseau des logiciels malveillants.Pour y être efficace, il est crucial de comprendre les défis communs et comment les surmonter.Voici trois problèmes courants que vous pouvez rencontrer et les outils dont vous aurez besoin pour les résoudre.
Décrit le trafic HTTPS
Protocole de transfert hypertexte Secure (HTTPS), le protocole pour sécuriser
Malware analysis encompasses a broad range of activities, including examining the malware\'s network traffic. To be effective at it, it\'s crucial to understand the common challenges and how to overcome them. Here are three prevalent issues you may encounter and the tools you\'ll need to address them. Decrypting HTTPS traffic Hypertext Transfer Protocol Secure (HTTPS), the protocol for secure |
Malware Tool | ★★★ | |
 |
2023-12-13 15:00:00 | TeamCity Intrusion Saga: APT29 suspecté parmi les attaquants exploitant CVE-2023-42793 TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793 (lien direct) |
FortiGuardLabs a découvert une nouvelle campagne APT29 qui comprend l'équipe d'exploitation de TeamCity et GraphicalProton malware.Apprendre encore plus.
FortiGuardLabs discovered a new APT29 campaign which includes TeamCity exploitation and GraphicalProton malware. Learn more. |
Malware | APT 29 | ★★★ |
|
2023-12-13 10:00:25 | Campagne Fakesg, Akira Ransomware et Amos MacOS Stealer FakeSG campaign, Akira ransomware and AMOS macOS stealer (lien direct) |
Dans ce rapport, nous partageons nos dernières conclusions CrimeWare: Campagne de distribution de logiciels malveillants Fakesg livrant Netsupport Rat, nouveau Ransomware Akira de type Conti et Sceller Amos pour MacOS.
In this report, we share our latest crimeware findings: FakeSG malware distribution campaign delivering NetSupport RAT, new Conti-like Akira ransomware and AMOS stealer for macOS. |
Ransomware Malware | ★★ | |
|
2023-12-12 22:21:00 | Microsoft Patch Mardi, décembre 2023 Édition Microsoft Patch Tuesday, December 2023 Edition (lien direct) |
Le dernier correctif mardi de 2023 est à nos portes, avec Microsoft Corp. aujourd'hui libérant des correctifs pour un nombre relativement petit de trous de sécurité dans ses systèmes d'exploitation Windows et d'autres logiciels.Encore plus inhabituel, il n'y a pas de menaces connues "zéro jour" ciblant aucune des vulnérabilités du lot de patch de décembre.Pourtant, quatre des mises à jour poussées aujourd'hui abordent les vulnérabilités "critiques" qui, selon Microsoft, peuvent être exploitées par malware ou malcontents pour saisir un contrôle complet sur un appareil Windows vulnérable avec peu ou pas d'aide des utilisateurs.
The final Patch Tuesday of 2023 is upon us, with Microsoft Corp. today releasing fixes for a relatively small number of security holes in its Windows operating systems and other software. Even more unusual, there are no known "zero-day" threats targeting any of the vulnerabilities in December\'s patch batch. Still, four of the updates pushed out today address "critical" vulnerabilities that Microsoft says can be exploited by malware or malcontents to seize complete control over a vulnerable Windows device with little or no help from users. |
Malware Vulnerability | ★★ | |
|
2023-12-12 21:53:35 | Embauche?La nouvelle campagne d'escroquerie signifie \\ 'CV \\' les téléchargements peuvent contenir des logiciels malveillants Hiring? New scam campaign means \\'resume\\' downloads may contain malware (lien direct) |
Le dernier correctif mardi de 2023 est à nos portes, avec Microsoft Corp. aujourd'hui libérant des correctifs pour un nombre relativement petit de trous de sécurité dans ses systèmes d'exploitation Windows et d'autres logiciels.Encore plus inhabituel, il n'y a pas de menaces connues "zéro jour" ciblant aucune des vulnérabilités du lot de patch de décembre.Pourtant, quatre des mises à jour poussées aujourd'hui abordent les vulnérabilités "critiques" qui, selon Microsoft, peuvent être exploitées par malware ou malcontents pour saisir un contrôle complet sur un appareil Windows vulnérable avec peu ou pas d'aide des utilisateurs.
The final Patch Tuesday of 2023 is upon us, with Microsoft Corp. today releasing fixes for a relatively small number of security holes in its Windows operating systems and other software. Even more unusual, there are no known "zero-day" threats targeting any of the vulnerabilities in December\'s patch batch. Still, four of the updates pushed out today address "critical" vulnerabilities that Microsoft says can be exploited by malware or malcontents to seize complete control over a vulnerable Windows device with little or no help from users. |
Malware | ★★★ | |
|
2023-12-12 21:51:59 | Le nouveau malware utilise des e-mails directs pour chasser les chasseurs de tête New malware is using direct emails to hunt the head-hunters (lien direct) |
Le dernier correctif mardi de 2023 est à nos portes, avec Microsoft Corp. aujourd'hui libérant des correctifs pour un nombre relativement petit de trous de sécurité dans ses systèmes d'exploitation Windows et d'autres logiciels.Encore plus inhabituel, il n'y a pas de menaces connues "zéro jour" ciblant aucune des vulnérabilités du lot de patch de décembre.Pourtant, quatre des mises à jour poussées aujourd'hui abordent les vulnérabilités "critiques" qui, selon Microsoft, peuvent être exploitées par malware ou malcontents pour saisir un contrôle complet sur un appareil Windows vulnérable avec peu ou pas d'aide des utilisateurs.
The final Patch Tuesday of 2023 is upon us, with Microsoft Corp. today releasing fixes for a relatively small number of security holes in its Windows operating systems and other software. Even more unusual, there are no known "zero-day" threats targeting any of the vulnerabilities in December\'s patch batch. Still, four of the updates pushed out today address "critical" vulnerabilities that Microsoft says can be exploited by malware or malcontents to seize complete control over a vulnerable Windows device with little or no help from users. |
Malware | ★★ | |
 |
2023-12-12 19:00:56 | ProofPoint expose une attaque sophistiquée d'ingénierie sociale contre les recruteurs qui infecte leurs ordinateurs par des logiciels malveillants Proofpoint Exposes Sophisticated Social Engineering Attack on Recruiters That Infects Their Computers With Malware (lien direct) |
Les recruteurs et toute autre personne impliquée dans les processus d'embauche devraient être bien informés sur cette menace d'attaque d'ingénierie sociale.
Recruiters and anyone else involved in hiring processes should be knowledgeable about this social engineering attack threat. |
Threat Malware | ★★ | |
|
2023-12-12 17:54:45 | Faux curriculum vitae, vrais logiciels malveillants: TA4557 exploite les recruteurs pour un accès de porte dérobée Fake Resumes, Real Malware: TA4557 Exploits Recruiters for Backdoor Access (lien direct) |
> Par waqas
TA4557 est un acteur de menace à motivation financière connue pour distribuer la porte dérobée More_Eggs contre les recruteurs sur LinkedIn.
Ceci est un article de HackRead.com Lire le post d'origine: faux curriculum vitae, Real malware: TA4557 exploite les recruteurs pour l'accès de la porte dérobée
>By Waqas TA4557 is a financially motivated threat actor known to distribute the More_Eggs backdoor against recruiters on LinkedIn. This is a post from HackRead.com Read the original post: Fake Resumes, Real Malware: TA4557 Exploits Recruiters for Backdoor Access |
Threat Malware | ★★★ | |
|
2023-12-12 17:15:00 | Le renseignement de l'Ukraine \\ revendique la cyberattaque sur le service fiscal de l'État de la Russie Ukraine\\'s intelligence claims cyberattack on Russia\\'s state tax service (lien direct) |
La Direction de l'intelligence de défense de l'Ukraine (Gur) a déclaré avoir infecté des milliers de serveurs appartenant au service fiscal de l'État de la Russie avec des logiciels malveillants et détruit des bases de données et des sauvegardes.Au cours de l'opération, les espions militaires de l'Ukraine \\ ont déclaré qu'ils avaient réussi à pénétrer dans l'un des "principaux serveurs centraux bien protégés" du Federal Tax Service (FNS) de la Russie (FNS) ainsi que plus de 2 300
Ukraine\'s defense intelligence directorate (GUR) said it infected thousands of servers belonging to Russia\'s state tax service with malware, and destroyed databases and backups. During the operation, Ukraine\'s military spies said they managed to break into one of the "key well-protected central servers" of Russia\'s federal tax service (FNS) as well as more than 2,300 |
Malware | ★★★ | |
|
2023-12-12 15:59:36 | Novembre 2023 \\'s Most Wanted Maleware: New Asyncrat Campaign découvert tandis que FakeUpdates est rentré dans le top dix après une brève pause November 2023\\'s Most Wanted Malware: New AsyncRAT Campaign Discovered while FakeUpdates Re-Entered the Top Ten after Brief Hiatus (lien direct) |
> Les chercheurs ont rendu compte d'une nouvelle campagne asyncrat où des fichiers HTML malveillants étaient utilisés pour diffuser les logiciels malveillants furtifs.Pendant ce temps, le téléchargeur FakeUpdates a sauté directement à la deuxième place après une courte pause de la liste des dix premières, notre dernier indice de menace mondial pour le novembre 2023, les chercheurs ont vu une campagne asyncrat où des fichiers HTML malveillants ont été utilisés pour diffuser le malware secret.Pendant ce temps, le téléchargeur JavaScript, FakeUpdates, a sauté directement à la deuxième place après une interruption de deux mois de la liste des dix premières, et l'éducation est restée l'industrie la plus touchée dans le monde.Asyncrat est un cheval de Troie (rat) d'accès à distance connu pour sa capacité à à distance [& # 8230;]
>Researchers reported on a new AsyncRAT campaign where malicious HTML files were being used to spread the stealthy malware. Meanwhile, downloader FakeUpdates jumped straight into second place after a short break from the top ten list Our latest Global Threat Index for November 2023 saw researchers discover a AsyncRAT campaign where malicious HTML files were used to spread the covert malware. Meanwhile, JavaScript downloader, FakeUpdates, jumped straight into second place after a two-month hiatus from the top ten list, and Education remained the most impacted industry worldwide. AsyncRAT is a Remote Access Trojan (RAT) known for its ability to remotely […] |
Threat Malware | ★★ | |
|
2023-12-12 15:25:00 | New Mranon Stealer malware ciblant les utilisateurs allemands via une arnaque sur le thème de la réservation New MrAnon Stealer Malware Targeting German Users via Booking-Themed Scam (lien direct) |
Une campagne de phishing a été observée pour offrir un malware d'information sur le voleur appelé & nbsp; Mranon Stealer & nbsp; aux victimes sans méfiance via des leurres PDF sur le thème de la réservation apparemment bénins.
"Ce malware est un voleur d'informations basé sur Python compressé avec CX-Freeze pour échapper à la détection", a déclaré le chercheur Fortinet Fortiguard Labs Cara Lin & Nbsp."Mranon Stealer vole ses victimes \\ 'des informations d'identification, système
A phishing campaign has been observed delivering an information stealer malware called MrAnon Stealer to unsuspecting victims via seemingly benign booking-themed PDF lures. "This malware is a Python-based information stealer compressed with cx-Freeze to evade detection," Fortinet FortiGuard Labs researcher Cara Lin said. "MrAnon Stealer steals its victims\' credentials, system |
Malware | ★★ | |
|
2023-12-12 15:21:32 | Dévoiler «Vetta Loader»: un chargeur personnalisé frappant l'Italie et se propage dans les disques USB infectés Unveiling “Vetta Loader”: A Custom Loader Hitting Italy and Spread Through Infected USB Drives (lien direct) |
#### Description
Dans une récente enquête menée par l'équipe malveillante du malware de Yoroi \\, une menace persistante affectant plusieurs sociétés italiennes, principalement dans les secteurs de l'industrie, de la fabrication et de l'impression numérique, a été dévoilé.Le modus operandi de cette menace implique l'utilisation de disques USB infectés, exploitant la forte dépendance à l'égard des rédrivits pour le partage de données au sein de ces secteurs.
Le logiciel malveillant identifié, nommé "Vetta Loader", utilise les services vidéo publics comme un conduit pour fournir sa charge utile malveillante.Le rapport suggère un niveau de confiance moyen-élevé que l'acteur de menace derrière cette campagne est italien.Notamment, la recherche a révélé quatre variantes distinctes du chargeur Vetta, chacune codée dans différents langages de programmation-nodejs, Golang, Python et .NET - tout en partageant une approche commune de la communication avec les serveurs de commande et de contrôle et les téléchargements de stade ultérieurs.
#### URL de référence (s)
1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-harthrough-Enfini-usb-drives /
#### Date de publication
6 décembre 2023
#### Auteurs)
Luigi Marre
Carmelo ragusa
Giovanni pirozzi
Marco Giorgi
#### Description In a recent investigation conducted by Yoroi\'s malware ZLab team, a persistent threat affecting several Italian companies, primarily in industrial, manufacturing, and digital printing sectors, has been unveiled. The modus operandi of this threat involves the utilization of infected USB drives, exploiting the heavy reliance on pen-drives for data sharing within these sectors. The identified malware, named "Vetta Loader," employs public video services as a conduit for delivering its malicious payload. The report suggests a medium-high confidence level that the threat actor behind this campaign is Italian-speaking. Notably, the research uncovered four distinct variants of the Vetta Loader, each coded in different programming languages-NodeJS, Golang, Python, and .NET-while sharing a common approach to communication with command and control servers and subsequent stage downloads. #### Reference URL(s) 1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-through-infected-usb-drives/ #### Publication Date December 6, 2023 #### Author(s) Luigi Martire Carmelo Ragusa Giovanni Pirozzi Marco Giorgi |
Threat Malware Industrial | ★★★ | |
 |
2023-12-12 10:30:00 | L'acteur de menace cible les recruteurs avec des logiciels malveillants Threat Actor Targets Recruiters With Malware (lien direct) |
Les recruteurs sont invités à éduquer le personnel sur une augmentation des attaques de phishing du groupe de menaces TA4557
Recruiters are urged to educate staff about a surge in phishing attacks from threat group TA4557 |
Threat Malware | ★★ | |
|
2023-12-12 09:32:48 | Cisco révèle l'opération forger Cisco reveals Operation Blacksmith as Lazarus targets organizations with new Telegram-based malware in DLang (lien direct) |
Cisco Talos a découvert une nouvelle campagne menée par le groupe Lazare qu'il a nommé le forgeron de l'opération, \\ 'employant ...
Cisco Talos discovered a new campaign conducted by the Lazarus Group that it has codenamed \'Operation Blacksmith,\' employing... |
Malware | APT 38 | ★★★ |
|
2023-12-12 05:00:00 | Mémoire de sécurité: TA4557 cible les recruteurs directement par e-mail Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) |
What happened Since at least October 2023, TA4557 began using a new technique of targeting recruiters with direct emails that ultimately lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. Previously, throughout most of 2022 and 2023, TA4557 typically applied to existing open job listings purporting to be a job applicant. The actor included malicious URLs, or files containing malicious URLs, in the application. Notably, the URLs were not hyperlinked and the user would have to copy and paste the URL text to visit the website. The legitimate job hosting sites would then generate and send email notifications to the prospective employers who posted the positions. In recently observed campaigns, TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Specifically in the attack chain that uses the new direct email technique, once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. Alternatively, the actor was observed replying with a PDF or Word attachment containing instructions to visit the fake resume website. Example initial outreach email by TA4557 to inquire about a job posting. Example follow up email containing a URL linking to a fake resume website. Very notably, in campaigns observed in early November 2023, Proofpoint observed TA4557 direct the recipient to “refer to the domain name of my email address to access my portfolio” in the initial email instead of sending the resume website URL directly in a follow up response. This is likely a further attempt to evade automated detection of suspicious domains. Email purporting to be from a candidate directing the recipient to visit the domain in an email address. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. Example of a fake candidate website operated by TA4557 that leads to download of a zip attachment. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pass the filtering checks, they are directed to the candidate website. The candidate website uses a CAPTCHA which, if completed, will initiate the download of a zip file containing a shortcut file (LNK). The LNK, if executed, abuses legitimate software functions in "ie4uinit.exe" to download and execute a scriptlet from a location stored in the "ie4uinit.inf" file. This technique is commonly referred to as "Living Off The Land" (LOTL). The scriptlet decrypts and drops a DLL in the %APPDATA%\Microsoft folder. Next, it attempts to create a new regsrv32 process to execute the DLL using Windows Management Instrumentation (WMI) and, if that fails, tries an alternative approach using the ActiveX Object Run method. The DLL employs anti-sandbox and anti-analysis techniques. It incorporates a loop specifically designed to retrieve the RC4 key necessary for deciphering the More_Eggs backdoor. This loop is strategically crafted to extend its execution time, enhancing its evasion capabilities within a sandbox environment. Furthermore, the DLL employs multiple checks to determine if it is currently being debugged, utilizing the NtQueryInformationProcess function. The DLL drops the More_Eggs backdoor along with the MSXSL executable. Subsequently, it initiates the creation of the MSXSL process using the WMI service. Once completed, the DLL deletes itself. More_Eggs can be used to establish persistence, profile the machine, and drop additional payloads. Attribution Proofpoint has been tracking TA4557 since 2018 as a | Threat Malware Tool | ★★★ | |
 |
2023-12-12 01:48:38 | L'abus croissant des codes QR dans les logiciels malveillants et les escroqueries de paiement invite l'avertissement de FTC The growing abuse of QR codes in malware and payment scams prompts FTC warning (lien direct) |
La commodité des codes QR est une épée à double tranchant.Suivez ces conseils pour rester en sécurité.
The convenience of QR codes is a double-edged sword. Follow these tips to stay safe. |
Malware | ★★★ | |
|
2023-12-11 20:30:00 | Pirates nord-coréens utilisant la vulnérabilité log4j dans la campagne mondiale North Korean hackers using Log4J vulnerability in global campaign (lien direct) |
Les pirates connectés à Groupe de Lazarus de la Corée du Nord ont exploité le Vulnérabilité LOG4J Dans une campagne d'attaques ciblant les entreprises dans les secteurs de la fabrication, de l'agriculture et de la sécurité physique.Connu sous le nom de «Faire du forgeron de l'opération», la campagne a vu les pirates de Lazarus utiliser au moins trois nouvelles familles de logiciels malveillants, selon des chercheurs de Cisco Talos qui ont nommé l'un des
Hackers connected to North Korea\'s Lazarus Group have been exploiting the Log4j vulnerability in a campaign of attacks targeting companies in the manufacturing, agriculture and physical security sectors. Known as “Operation Blacksmith,” the campaign saw Lazarus hackers use at least three new malware families, according to researchers at Cisco Talos who named one of the |
Malware Vulnerability | APT 38 | ★★ |
|
2023-12-11 19:29:00 | Les chercheurs démasquent le lien caché de Sandman Apt \\ avec la porte de la porte de la Chine à la Chine Researchers Unmask Sandman APT\\'s Hidden Link to China-Based KEYPLUG Backdoor (lien direct) |
Des chevauchements tactiques et des ciblage ont été découverts entre la menace persistante avancée énigmatique (APT) appelée & nbsp; Sandman & nbsp; et un groupe de menaces basé sur la Chine qui est connu pour utiliser une porte dérobée connue sous le nom de clés.
L'évaluation provient conjointement de Sentinélone, PwC et de l'équipe Microsoft Threat Intelligence Bases sur le fait que le malware Luadream et KeyPlug de l'adversaire ont été basés sur Lua
Tactical and targeting overlaps have been discovered between the enigmatic advanced persistent threat (APT) called Sandman and a China-based threat cluster that\'s known to use a backdoor known as KEYPLUG. The assessment comes jointly from SentinelOne, PwC, and the Microsoft Threat Intelligence team based on the fact that the adversary\'s Lua-based malware LuaDream and KEYPLUG have been |
Threat Malware | ★★★ | |
|
2023-12-11 18:08:15 | Langues de mémoire de mémoire si chaudes en ce moment, accepte le groupe Lazarus alors qu'il frappe les logiciels malveillants dlang Memory-safe languages so hot right now, agrees Lazarus Group as it slings DLang malware (lien direct) |
Le dernier cyber-groupe offensif pour passer à la programmation atypique pour les charges utiles La recherche sur les attaques de Lazarus Group \\ à l'aide de Log4Shell a révélé de nouvelles souches de logiciels malveillants écrits dans un langage de programmation atypique.… | Malware | APT 38 | ★★ |
To see everything:
Our RSS (filtrered)
