What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-03-23 10:00:00 | Blackguard Stealer étend ses capacités dans une nouvelle variante [BlackGuard stealer extends its capabilities in new variant] (lien direct) | AT&T Alien Labs researchers have discovered a new variant of BlackGuard stealer in the wild, infecting using spear phishing attacks. The malware evolved since its previous variant and now arrives with new capabilities.
Key takeaways:
BlackGuard steals user sensitive information from a wide range of applications and browsers.
The malware can hijack crypto wallets copied to clipboard.
The new variant is trying to propagate through removable media and shared devices.
Background
BlackGuard stealer is malware as a service sold in underground forums and Telegram since 2021, when a Russian user posted information about a new malware called BlackGuard. It was offered for $700 lifetime or $200 monthly, claiming it can collect information from a wide range of applications and browsers.
In November 2022, an update for BlackGuard was announced in Telegram by its developer. Along with the new features, the malware author suggests free help with installing the command & control panel (Figure 1)
Figure 1. Announcement of new malware version in its Telegram channel.
Analysis
When executed, BlackGuard first checks if another instance is running by creating a Mutex.
Then to ensure it will survive a system reboot, the malware adds itself to the “Run” registry key. The malware also checks if it\'s running in debugger mode by checking TickCount and checking if the current user belongs to a specific list to determine whether it is running in a malware sandbox environment. (Figure 2)
Figure 2. Malware will avoid execution if running under specific user names.
Now all is ready for stealing the user’s sensitive data. It collects all stolen information in a folder where each piece of data is stored in a specific folder, such as Browsers, Files, Telegram, etc. (Figure 3)
Figure 3. BlackGuard main folder with stolen data divided into folders.
When it finishes collecting sensitive data, the malware will zip the main folder using the password “xNET3301LIVE” and send it to its command & control. (Figure 4)
Figure 4. Zipping exfiltrated data with password and uploading to command & control.
Browser stealth
Along with collecting cookies, history and downloads of different browsers, BlackGuard also looks for the existence of special files and folders of different browsers. (This includes “Login Data”, AutoFill, History and Downloads. (Figure 5)
Figure 5. Collecting browser information.
Below is the list of browsers BlackGuard is looking for:
Chromium
|
Malware Tool Threat General Information | ★★★ | |
 |
2023-03-23 09:53:52 | Operation Tained Love |Les APT chinois ciblent les opérateurs de télécommunications dans de nouvelles attaques Operation Tainted Love | Chinese APTs Target Telcos in New Attacks (lien direct) |
L'acteur de Cyber Espionage déploie des logiciels malveillants de vol d'identification personnalisés dans une nouvelle campagne ciblant le secteur des télécommunications.
Cyber espionage actor deploys custom credential theft malware in new campaign targeting the telecoms sector. |
Malware | ★★★ | |
 |
2023-03-23 00:00:00 | Emballez-le secrètement: les stratégies furtives mises à jour de la Terre [Pack it Secretly: Earth Preta\\'s Updated Stealthy Strategies] (lien direct) | Après des mois d'enquête, nous avons constaté que plusieurs logiciels malveillants non divulgués et outils intéressants utilisés à des fins d'exfiltration étaient utilisés par la Terre Preta.Nous avons également observé que les acteurs de la menace modifiaient activement leurs outils, tactiques et procédures (TTP) pour contourner les solutions de sécurité.Dans cette entrée de blog, nous présenterons et analyserons les autres outils et les logiciels malveillants utilisés par l'acteur de menace.
After months of investigation, we found that several undisclosed malware and interesting tools used for exfiltration purposes were being used by Earth Preta. We also observed that the threat actors were actively changing their tools, tactics, and procedures (TTPs) to bypass security solutions. In this blog entry, we will introduce and analyze the other tools and malware used by the threat actor. |
Malware Threat Studies | ★★★ | |
 |
2023-03-23 00:00:00 | AMADEY INFO-SELECTEUR: Exploiter les vulnérabilités du jour pour lancer des informations sur le vol de logiciels malveillants [Amadey Info-Stealer: Exploiting N-Day Vulnerabilities to Launch Information Stealing Malware] (lien direct) | Le malware du voleur d'informations Amadey a été détecté sur plus de 30 clients entre août et décembre 2022, couvrant diverses régions et verticales de l'industrie.Ce blog met en évidence la résurgence des logiciels malveillants en tant que service (MAAS) et la mise à profit des vulnérabilités n-days existantes dans les campagnes de smokeloder pour lancer Amadey sur les clients des clients \\ '.Cette enquête faisait partie des travaux de recherche sur la menace continue de DarkTrace \\ dans les efforts pour identifier et contextualiser les menaces à travers la flotte de Darktrace, en s'appuyant sur les idées de l'IA grâce à une analyse humaine collaborative.
Amadey Info-stealer malware was detected across over 30 customers between August and December 2022, spanning various regions and industry verticals. This blog highlights the resurgence of Malware as a Service (MaaS) and the leveraging of existing N-Day vulnerabilities in SmokeLoader campaigns to launch Amadey on customers\' networks. This investigation was part of Darktrace\'s continuous Threat Research work in efforts to identify and contextualize threats across the Darktrace fleet, building off of AI insights through collaborative human analysis. |
Malware Threat General Information | ★★★ | |
 |
2023-03-22 23:50:00 | ASEC Weekly Malware Statistics (13 mars 2023 & # 8211; 19 mars 2023) [ASEC Weekly Malware Statistics (March 13th, 2023 – March 19th, 2023)] (lien direct) | L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB utilise le système d'analyse automatique ASEC Rapit pour catégoriser et répondreaux logiciels malveillants connus.Ce message répertorie les statistiques hebdomadaires collectées du 13 mars 2023 (lundi) au 19 mars 2023 (dimanche).Pour la catégorie principale, InfostEaler s'est d'abord classé avec 43,8%, suivi de la porte dérobée avec 34,5%, du téléchargeur avec 18,7%, des ransomwares avec 1,7%, des logiciels malveillants bancaires avec 0,9% et de la co -minner avec 0,4%.Top 1 & # 8211; & # 160;Redline Redline s'est classée en première place avec 23,4%.Le malware vole ...
AhnLab Security Emergency response Center (ASEC) analysis team uses the ASEC automatic analysis system RAPIT to categorize and respond to known malware. This post will list weekly statistics collected from March 13th, 2023 (Monday) to March 19th, 2023 (Sunday). For the main category, Infostealer ranked first with 43.8%, followed by backdoor with 34.5%, downloader with 18.7%, ransomware with 1.7%, banking malware with 0.9%, and CoinMiner with 0.4%. Top 1 – Redline RedLine ranked first place with 23.4%. The malware steals... |
Ransomware Malware General Information | ★★ | |
 |
2023-03-22 23:11:08 | Google suspend l'application de commerce électronique chinois Pinduoduo sur les logiciels malveillants [Google Suspends Chinese E-Commerce App Pinduoduo Over Malware] (lien direct) | Google dit qu'il a suspendu l'application pour le géant du commerce électronique chinois Pinduoduo après que les logiciels malveillants ont été trouvés dans les versions de l'application.Cette décision intervient quelques semaines seulement après que les chercheurs en sécurité chinois ont publié une analyse suggérant que l'application populaire de commerce électronique a cherché à saisir le contrôle total des appareils affectés en exploitant plusieurs vulnérabilités de sécurité dans une variété de smartphones Android.
Google says it has suspended the app for the Chinese e-commerce giant Pinduoduo after malware was found in versions of the app. The move comes just weeks after Chinese security researchers published an analysis suggesting the popular e-commerce app sought to seize total control over affected devices by exploiting multiple security vulnerabilities in a variety of Android-based smartphones. |
Malware Studies | ★★ | |
|
2023-03-22 23:00:00 | Ransomware du Nevada distribué en Corée [Nevada Ransomware Being Distributed in Korea] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a découvert que les cas de ransomware du Nevada sont distribués au cours de l'équipe & # 8217Surveillance interne.Le Nevada est un logiciel malveillant écrit en utilisant Rust comme base et sa tendance à ajouter le & # 8220; .nevada & # 8221;L'extension des fichiers qu'il infecte est son trait déterminant.Après avoir chiffré les répertoires, il génère des notes de rançon avec le nom de fichier & # 8220; readme.txt & # 8221;Dans chaque répertoire.Ces notes contiennent un lien de navigateur TOR pour les paiements de rançon.1. Caractéristiques principales du ransomware du Nevada comme indiqué dans le ...
AhnLab Security Emergency response Center (ASEC) discovered cases of the Nevada ransomware being distributed during the team’s internal monitoring. Nevada is a malware written using Rust as its basis and its tendency of adding the “.NEVADA” extension to the files it infects is its defining trait. After encrypting directories, it generates ransom notes with the filename “README.txt” in each directory. These notes contain a Tor browser link for ransom payments. 1. Main Features of Nevada Ransomware As shown in the... |
Ransomware Malware General Information | ★★ | |
 |
2023-03-22 18:35:00 | Les journalistes branchent un lecteur USB inconnu envoyé par la poste - il a explosé sur son visage [Journalist plugs in unknown USB drive mailed to him-it exploded in his face] (lien direct) | Les explosifs remplacent les logiciels malveillants comme la chose la plus effrayante qu'un bâton USB peut cacher.
Explosives replace malware as the scariest thing a USB stick may hide. |
Malware | ★★★★ | |
 |
2023-03-22 17:54:00 | Arsenal évolutif de Scarcruft \\: les chercheurs révèlent de nouvelles techniques de distribution de logiciels malveillants [ScarCruft\\'s Evolving Arsenal: Researchers Reveal New Malware Distribution Techniques] (lien direct) | L'acteur de menace persistante avancée nord-coréenne (APT) surnommé Scarcruft utilise des fichiers HTML (CHM) compilés compilés par Microsoft armé pour télécharger des logiciels malveillants supplémentaires.
Selon plusieurs rapports d'Ahnlab Security Emergency Response Center (ASEC), de Sekoia.io et de Zscaler, les résultats illustrent les efforts continus du groupe pour affiner et réorganiser ses tactiques pour contourner la détection.
"
The North Korean advanced persistent threat (APT) actor dubbed ScarCruft is using weaponized Microsoft Compiled HTML Help (CHM) files to download additional malware. According to multiple reports from AhnLab Security Emergency response Center (ASEC), SEKOIA.IO, and Zscaler, the findings are illustrative of the group\'s continuous efforts to refine and retool its tactics to sidestep detection. " |
Malware Threat General Information Cloud | APT 37 | ★★ |
|
2023-03-22 14:28:00 | Les forfaits Rogue Nuget infectent les développeurs .NET avec des logiciels malveillants crypto-nocaux [Rogue NuGet Packages Infect .NET Developers with Crypto-Stealing Malware] (lien direct) | Le référentiel NuGet est la cible d'une nouvelle "attaque sophistiquée et très malveillante" visant à infecter les systèmes de développeurs .NET avec des logiciels malveillants de voleur de crypto-monnaie.
Les 13 packages Rogue, qui ont été téléchargés plus de 160 000 fois au cours du mois dernier, ont depuis été retirés.
"Les packages contenaient un script PowerShell qui s'exécuterait lors de l'installation et déclencherait un téléchargement d'un \\ '
The NuGet repository is the target of a new "sophisticated and highly-malicious attack" aiming to infect .NET developer systems with cryptocurrency stealer malware. The 13 rogue packages, which were downloaded more than 160,000 times over the past month, have since been taken down. "The packages contained a PowerShell script that would execute upon installation and trigger a download of a \' |
Malware | ★★ | |
 |
2023-03-22 13:00:00 | Tendances des logiciels malveillants: ce qui est l'ancien est encore nouveau [Malware Trends: What\\'s Old is Still New] (lien direct) | > Beaucoup des cybercriminels les plus réussis sont astucieux;Ils veulent un bon retour sur investissement, mais ils ne veulent pas avoir à réinventer la roue pour l'obtenir.
>Many of the most successful cybercriminals are shrewd; they want good ROI, but they don\'t want to have to reinvent the wheel to get it. |
Malware General Information | ★★ | |
|
2023-03-22 12:49:00 | New NapListener Malware utilisé par le groupe REF2924 pour échapper à la détection du réseau [New NAPLISTENER Malware Used by REF2924 Group to Evade Network Detection] (lien direct) | Le groupe de menaces suivi comme Ref2924 a été observé pour déployer des logiciels malveillants invisibles auparavant dans ses attaques destinées aux entités d'Asie du Sud et du Sud-Est.
Le logiciel malveillant, surnommé NapListener par Elastic Security Labs, est un écouteur HTTP programmé en C # et est conçu pour échapper aux "formes de détection basées sur le réseau".
REF2924 est le surnom attribué à un cluster d'activités lié aux attaques contre une entité
The threat group tracked as REF2924 has been observed deploying previously unseen malware in its attacks aimed at entities in South and Southeast Asia. The malware, dubbed NAPLISTENER by Elastic Security Labs, is an HTTP listener programmed in C# and is designed to evade "network-based forms of detection." REF2924 is the moniker assigned to an activity cluster linked to attacks against an entity |
Malware Threat General Information | ★★★ | |
 |
2023-03-22 08:00:59 | 4 menaces de logiciels malveillants mobiles que vous ne pouvez même pas voir [4 Mobile Malware Threats You Can\\'t Even See] (lien direct) | > 
D'ici 2030, les experts prédisent qu'il y aura 5 milliards d'appareils liés à la 5G.1 pour la population générale, cette connectivité ...
> 
By 2030, experts predict that there will be 5 billion devices connected to 5G.1 For the general population, this connectedness...
|
Malware Studies Prediction | ★★ | |
 |
2023-03-22 07:32:10 | Les acteurs inconnus déploient des logiciels malveillants pour voler des données dans les régions occupées de l'Ukraine [Unknown actors deploy malware to steal data in occupied regions of Ukraine] (lien direct) | Si c'est le travail de Kyiv \\, la Russie peut Crimea River Une campagne de cyber-espionnage ciblant les organisations dans les régions occupées par Russie de l'Ukraine utilise de nouveaux logiciels malveillants pour voler des données, selon la RussieVendeur logiciel infosec Kaspersky.… | Malware | ★★★ | |
|
2023-03-22 01:06:10 | Google suspend l'application d'achat chinois au milieu des problèmes de sécurité [Google Suspends Chinese Shopping App Amid Security Concerns] (lien direct) | > Google a suspendu l'application de shopping chinoise Pinduoduo sur son App Store après la découverte des logiciels malveillants dans les versions de l'application à partir d'autres sources.
>Google has suspended the Chinese shopping app Pinduoduo on its app store after malware was discovered in versions of the app from other sources. |
Malware | ★★★ | |
|
2023-03-21 17:11:00 | Nouveau shellbot DDOS malware ciblant les serveurs Linux mal gérés [New ShellBot DDoS Malware Targeting Poorly Managed Linux Servers] (lien direct) | Les serveurs Linux SSH mal gérés sont ciblés dans le cadre d'une nouvelle campagne qui déploie différentes variantes de logiciels malveillants appelés shellbot.
"Shellbot, également connu sous le nom de Perlbot, est un logiciel malveillant DDOS BOT développé dans Perl et utilise caractéristiquement le protocole IRC pour communiquer avec le serveur C & amp; C", a déclaré Ahnlab Security Emergency Response Center (ASEC) dans un rapport.
Shellbot est installé sur des serveurs qui
Poorly managed Linux SSH servers are being targeted as part of a new campaign that deploys different variants of malware called ShellBot. "ShellBot, also known as PerlBot, is a DDoS Bot malware developed in Perl and characteristically uses IRC protocol to communicate with the C&C server," AhnLab Security Emergency response Center (ASEC) said in a report. ShellBot is installed on servers that |
Malware | ★★ | |
 |
2023-03-21 16:33:24 | Les pirates utilisent de nouveaux logiciels malveillants PowerMagic et Common Magic pour voler des données [Hackers use new PowerMagic and CommonMagic malware to steal data] (lien direct) | Des chercheurs en sécurité ont découvert des attaques d'un acteur de menace avancé qui a utilisé "un cadre malveillant auparavant invisible" appelé CommonMagic et une nouvelle porte dérobée appelée PowerMagic.[...]
Security researchers have discovered attacks from an advanced threat actor that used "a previously unseen malicious framework" called CommonMagic and a new backdoor called PowerMagic. [...] |
Malware Threat | ★★ | |
 |
2023-03-21 14:30:50 | Personnalisé \\ 'napListener \\' malware un cauchemar pour la détection basée sur le réseau [Custom \\'Naplistener\\' Malware a Nightmare for Network-Based Detection] (lien direct) | Les acteurs de la menace utilisent des actifs réseau légitimes et du code open source pour voler sous le radar dans les attaques de vol de données en utilisant un ensemble de logiciels malveillants personnalisés inclinés dans l'évasion.
Threat actors are using legitimate network assets and open source code to fly under the radar in data-stealing attacks using a set of custom malware bent on evasion. |
Malware Threat | ★★ | |
 |
2023-03-21 10:59:08 | ESET Research a découvert des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies (lien direct) | ESET Research a découvert des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies ● ESET Research a découvert pour la première fois des malwares dits " clippers " intégrés à des applications de messagerie instantanée. ● Leurs auteurs s'attaquent aux cryptomonnaie des victimes à l'aide des applications Telegram et WhatsApp Android et Windows infectées par des chevaux de Troie. ● Le malware est capable de remplacer les adresses des portefeuilles de cryptomonnaies que les victimes envoient dans les messages de chat par des adresses appartenant à l'attaquant. ● Certains des clippers utilisent même la reconnaissance de caractères pour extraire du texte de captures d'écran et voler les phrases de récupération des portefeuilles de cryptomonnaies. ● Outre les clippers, ESET a également découvert des chevaux de Troie d'accès à distance intégrés à des versions malveillantes de WhatsApp et Telegram sur Windows. - Malwares | Malware | ★★ | |
 |
2023-03-21 10:15:32 | Les attaquants exploitent le panneau Adobe Acrobat pour distribuer des logiciels malveillants Redline Stealer [Attackers Exploit Adobe Acrobat Sign to Distribute RedLine Stealer Malware] (lien direct) | > Les cybercriminels utilisent de nombreuses façons de distribuer des logiciels malveillants, notamment en profitant des services légitimes.Récemment, la sécurité ...
>Cybercriminals employ many ways to distribute malware, including taking advantage of legitimate services. Recently, security... |
Malware | ★★ | |
|
2023-03-21 05:58:12 | Google suspends top Chinese shopping app Pinduoduo (lien direct) | allègue qu'il est infecté par des logiciels malveillants & # 8211;Mais pas la version dans son propre bazar Tat Digital Google a suspendu l'application de shopping chinoise Pinduoduo depuis son Play Store parce que les versions du logiciel trouvé ailleurs ont inclus des logiciels malveillants.… | Malware | ★★★★ | |
 |
2023-03-20 23:29:00 | Anomali Cyber Watch: APT, China, Data leak, Injectors, Packers, Phishing, Ransomware, Russia, and Ukraine (lien direct) |
& nbsp;
Anomali Cyber Watch: Winter Vivern imite la page Web de cybercrimes de la Poland, le télégramme trojanisé vole les clés de crypto-monnaie à partir de captures d'écran, Silkloder évite l'East Asian Menking Bookbox, et plus encore.
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, Chine, fuite de données, injecteurs, packers, phishing, ransomware, Russie, et Ukraine.Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
Visern d'hiver |Découvrir une vague d'espionnage mondial
(Publié: 16 mars 2023)
Depuis décembre 2020, Winter Vivern se livrait à des campagnes de cyberespionnage alignées sur les objectifs du Bélarus et du gouvernement russe.Depuis janvier 2021, il a ciblé les organisations gouvernementales en Lituanie, en Inde, au Vatican et en Slovaquie.De la mi-2022 à décembre 2022, il a ciblé l'Inde et l'Ukraine: a usurpé l'identité du site Web du service de courrier électronique du gouvernement indien et a envoyé un excel macro-compétitif pour cibler un projet facilitant la reddition du personnel militaire russe.Au début de 2023, Winter Vivern a créé de fausses pages pour le bureau central de la Pologne pour la lutte contre la cybercriminalité, le ministère ukrainien des Affaires étrangères et le service de sécurité de l'Ukraine.Le groupe s'appuie souvent sur le simple phishing pour les références.Un autre type d'activité d'hiver VIVERN comprend des documents de bureau malveillants avec des macros, un script de chargeur imitant un scanner de virus et l'installation de la porte dérobée de l'ouverture.L'infrastructure malveillante du groupe comprend des domaines typosquattés et des sites Web WordPress compromis.
Commentaire de l'analyste: Faites attention si un domaine demande vos mots de passe, essayez d'établir son authenticité et sa propriété.Les clients anomalis préoccupés par les risques pour leurs actifs numériques (y compris les domaines similaires / typosquattés) peuvent essayer Service de protection numérique premium d'Anomali \\ 's .De nombreuses attaques avancées commencent par des techniques de base telles que des e-mails injustifiés avec des pièces jointes malveillantes qui obligent l'utilisateur à l'ouvrir et à activer les macroses.Il est important d'enseigner à vos utilisateurs une hygiène de base en ligne et une conscience de phishing.
mitre att & amp; ck: [mitre att & amp; ck] t1583.001 -Acquérir des infrastructures: domaines | [mitre att & amp; ck] t1566.001 - phishing: spearphishing attachement | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1059.003 - commande et scriptInterprète: Shell de commande Windows | [mitre att & amp; ck] t1105 - transfert d'outils d'en |
Ransomware Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2023-03-20 20:23:00 | Mirai Hackers Use Golang to Create a Bigger, Badder DDoS Botnet (lien direct) | Avec Hinatabot, les auteurs de logiciels malveillants ont créé une bête plusieurs fois plus efficace que même les botnets les plus effrayants de l'ancien, emballant plus de 3 tbit / s de vitesses DDOS.
With HinataBot, malware authors have created a beast many times more efficient than even the scariest botnets of old, packing more than 3Tbit/s DDoS speeds. |
Malware | ★★ | |
|
2023-03-20 19:09:00 | New DotRunpeX Malware Delivers Multiple Malware Families via Malicious Ads (lien direct) | A new piece of malware dubbed dotRunpeX is being used to distribute numerous known malware families such as Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys, and Vidar. "DotRunpeX is a new injector written in .NET using the Process Hollowing technique and used to infect systems with a variety of known malware families," Check | Malware | ★★★ | |
 |
2023-03-20 18:30:00 | When the Absence of Noise Becomes Signal: Defensive Considerations for Lazarus FudModule (lien direct) | > En février 2023, X-Force a publié un blog intitulé & # 8220; Direct Kernel Object Manipulation (DKOM) Attacks contre les fournisseurs ETW & # 8221;Cela détaille les capacités d'un échantillon attribué au groupe Lazare se sont exploités pour altérer la visibilité des opérations de logiciels malveillants.Ce blog ne remaniera pas l'analyse de l'échantillon de logiciel malveillant Lazarus ou du traçage d'événements pour Windows (ETW) comme [& # 8230;]
>In February 2023, X-Force posted a blog entitled “Direct Kernel Object Manipulation (DKOM) Attacks on ETW Providers” that details the capabilities of a sample attributed to the Lazarus group leveraged to impair visibility of the malware’s operations. This blog will not rehash analysis of the Lazarus malware sample or Event Tracing for Windows (ETW) as […] |
Malware Medical | APT 38 | ★★★ |
|
2023-03-20 10:28:01 | (Déjà vu) Adobe Acrobat Sign Abused to Distribute Malware (lien direct) | >Cybercriminals are abusing the Adobe Acrobat Sign service in a campaign distributing the RedLine information stealer malware. | Malware | ★★ | |
|
2023-03-20 10:00:00 | Italian agency warns ransomware targets known VMware vulnerability (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. News broke in early February that the ACN, Italy’s National Cybersecurity Agency, issued a warning regarding a VMware vulnerability discovered two years ago. Many organizations hadn’t yet patched the issue and became the victims of a new ransomware called ZCryptor. The malicious software wreaked havoc on Italian and European businesses by encrypting users’ files and demanding payment for the data to be unencrypted. The ACN urges VMware users to ensure their systems are backed up and updated with the most recent security patches available. With ransomware on the rise, it’s crucial that businesses take the necessary steps to protect their data and applications. ESXiArgs ransomware attacks Ransomware is a type of malware or malicious software that enables unauthorized users to restrict access to an organization’s files, systems, and networks. But it doesn’t stop there. In exchange for the keys to the kingdom, attackers will typically require a large sum in the form of cryptocurrency. There are many ways that ransomware is executed on a target system. In this case, the attacker infiltrated VMware’s ESXi hypervisor code and held entire servers for ransom. According to reports most victims were required to pay almost $50,000 USD in Bitcoin to restore access to entire business systems. The nature of these attacks lead experts to believe that this is not the work of ransomware gangs, and is more likely being executed by a smaller group of threat actors. But that doesn’t mean the damage was any less alarming. Exploiting known vulnerabilities Hackers were able to infect over 2000 machines in only twenty-four hours on a Friday afternoon before the start of the weekend. But how were they able to work so fast? As soon as software developers and providers publish fixes for specific vulnerabilities, threat actors are already beginning their plan of attack. Fortunately, the ESXiArgs vulnerability was patched two years ago (CVE-2021-21974.) Organizations that have not run this patch are at risk of becoming a victim of the latest ransomware. Unfortunately, Florida’s Supreme Court, the Georgia Institute of Technology, Rice University, and many schools across Hungary and Slovakia have also become victims of this newest ransomware attack. CISA guidance for affected systems The US Cybersecurity and Infrastructure Security Agency (CISA) issued recovery guidance for the 3,800 servers around the world affected by the ESXiArgs ransomware attacks: Immediately update all servers to the latest VMware ESXi version. Disable Service Location Protocol (SLP) to harden the hypervisor. Make sure the ESXi hypervisor is never exposed to the public internet. The CISA also offers a script on its GitHub page to reconstruct virtual machine metadata from unaffected virtual disks. What organi | Ransomware Malware Vulnerability Threat Patching Guideline | ★★★ | |
|
2023-03-19 10:20:40 | New \'HinataBot\' botnet could launch massive 3.3 Tbps DDoS attacks (lien direct) | A new malware botnet was discovered targeting Realtek SDK, Huawei routers, and Hadoop YARN servers to recruit devices into DDoS (distributed denial of service) swarm with the potential for massive attacks. [...] | Malware | ★★★★ | |
|
2023-03-18 15:03:23 | Emotet malware now distributed in Microsoft OneNote files to evade defenses (lien direct) | The Emotet malware is now distributed using Microsoft OneNote email attachments, aiming to bypass Microsoft security restrictions and infect more targets. [...] | Malware | ★★★ | |
|
2023-03-17 23:45:00 | FakeCalls Vishing Malware Targets South Korean Users via Popular Financial Apps (lien direct) | An Android voice phishing (aka vishing) malware campaign known as FakeCalls has reared its head once again to target South Korean users under the guise of over 20 popular financial apps. "FakeCalls malware possesses the functionality of a Swiss army knife, able not only to conduct its primary aim but also to extract private data from the victim's device," cybersecurity firm Check Point said. | Malware | ★★★ | |
|
2023-03-17 17:37:00 | New GoLang-Based HinataBot Exploiting Router and Server Flaws for DDoS Attacks (lien direct) | A new Golang-based botnet dubbed HinataBot has been observed to leverage known flaws to compromise routers and servers and use them to stage distributed denial-of-service (DDoS) attacks. "The malware binaries appear to have been named by the malware author after a character from the popular anime series, Naruto, with file name structures such as 'Hinata--,'" Akamai said in a | Malware Threat | ★★★ | |
 |
2023-03-17 17:30:00 | Telegram, WhatsApp Trojanized to Target Cryptocurrency Wallets (lien direct) | Most of these apps rely on clipper malware to steal the contents of the Android clipboard | Malware | ★★★ | |
|
2023-03-17 15:52:00 | Lookalike Telegram and WhatsApp Websites Distributing Cryptocurrency Stealing Malware (lien direct) | Copycat websites for instant messaging apps like Telegram and WhatApp are being used to distribute trojanized versions and infect Android and Windows users with cryptocurrency clipper malware. "All of them are after victims' cryptocurrency funds, with several targeting cryptocurrency wallets," ESET researchers Lukáš Štefanko and Peter Strýček said in a new analysis. While the first instance of | Malware Threat | ★★ | |
|
2023-03-17 11:36:19 | RAT developer arrested for infecting 10,000 PCs with malware (lien direct) | Ukraine's cyberpolice has arrested the developer of a remote access trojan (RAT) malware that infected over 10,000 computers while posing as game applications. [...] | Malware Legislation | ★★★ | |
|
2023-03-17 01:38:00 | ShellBot Malware Being Distributed to Linux SSH Servers (lien direct) | AhnLab Security Emergency response Center (ASEC) has recently discovered the ShellBot malware being installed on poorly managed Linux SSH servers. ShellBot, also known as PerlBot, is a DDoS Bot malware developed in Perl and characteristically uses IRC protocol to communicate with the C&C server. ShellBot is an old malware that has been in steady use and is still being used today to launch attacks against Linux systems. 1. Attack Campaigns Against Linux SSH Servers Unlike desktop, which is the main... | Malware | ★★ | |
|
2023-03-17 01:00:06 | Here\'s how Chinese cyber spies exploited a critical Fortinet bug (lien direct) | Looks to be the same baddies attacking VMware hypervisors last year Suspected Chinese spies have exploited a critical Fortinet bug, and used custom networking malware to steal credentials and maintain network access, according to Mandiant security researchers.… | Malware | ★★ | |
|
2023-03-17 00:00:00 | Malware Distributed Disguised as a Password File (lien direct) | AhnLab Security Emergency response Center (ASEC) discovered a malware strain disguised as a password file and being distributed alongside a normal file within a compressed file last month. It is difficult for users to notice that this file is malicious because this type of malware is distributed together with a normal file. The recently discovered malware was in CHM and LNK file formats. In the case of the CHM file, it shares the same type as the malware covered in... | Malware | ★★ | |
 |
2023-03-16 21:19:07 | MoqHao Part 3: Recent Global Targeting Trends (lien direct) | Introduction This blog post is part of an ongoing series of analysis on MoqHao (also referred to as Wroba and XLoader), a malware family... | Malware | ★★★ | |
|
2023-03-16 21:00:00 | Chinese and Russian Hackers Using SILKLOADER Malware to Evade Detection (lien direct) | Threat activity clusters affiliated with the Chinese and Russian cybercriminal ecosystems have been observed using a new piece of malware that's designed to load Cobalt Strike onto infected machines. Dubbed SILKLOADER by Finnish cybersecurity company WithSecure, the malware leverages DLL side-loading techniques to deliver commercial adversary simulation software. The development comes as | Malware Threat | ★★ | |
 |
2023-03-16 20:56:00 | Kaspersky releases decryptor for ransomware based on Conti source code (lien direct) |
Cybersecurity firm Kaspersky on Thursday released a decryptor that could help victims who had their data locked down by a version of the Conti ransomware. Kaspersky said the tool can be used on a malware strain that infected dozens of “companies and state institutions” throughout December 2022. Kaspersky did not name the strain, but experts |
Ransomware Malware Tool | ★★ | |
|
2023-03-16 19:09:00 | Cryptojacking Group TeamTNT Suspected of Using Decoy Miner to Conceal Data Exfiltration (lien direct) | The cryptojacking group known as TeamTNT is suspected to be behind a previously undiscovered strain of malware used to mine Monero cryptocurrency on compromised systems. That's according to Cado Security, which found the sample after Sysdig detailed a sophisticated attack known as SCARLETEEL aimed at containerized environments to ultimately steal proprietary data and software. Specifically, the | Malware | ★★ | |
|
2023-03-16 15:36:49 | FakeCalls Android malware returns with new ways to hide on phones (lien direct) | Android malware 'FakeCalls' is circulating again in South Korea, imitating phone calls for over 20 financial organizations and attempting to fool targets into giving away their credit card details. [...] | Malware | ★★ | |
|
2023-03-16 14:45:11 | Adobe Acrobat Sign abused to push Redline info-stealing malware (lien direct) | Cybercriminals are abusing Adobe Acrobat Sign, an online document signing service, to distribute info-stealing malware to unsuspecting users. [...] | Malware | ★★★ | |
 |
2023-03-16 13:03:00 | Microsoft OneNote File Being Leveraged by Phishing Campaigns to Spread Malware (lien direct) | An in-depth analysis of a phishing campaign utilizing a Microsoft OneNote file. Learn about the contents of this malicious attack from how it executes, to evading detection, and fully controlling the victim's device. | Malware | ★★ | |
 |
2023-03-16 12:45:58 | L\'une des plus grandes menaces d\'Internet est de retour (lien direct) |  " L'une des menaces les plus répandues actuellement ". C'est la phase qu'a utilisée en 2020 la branche cybersécurité du département de la sécurité intérieure des États-Unis pour désigner le malware connu sous le nom d'Emotet. Après une longue absence, il est malheureusement de retour. |
Malware General Information | ★★ | |
 |
2023-03-16 11:00:00 | Fortinet Zero-Day et Custom Maleware utilisés par un acteur chinois suspecté dans l'opération d'espionnage Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation (lien direct) |
Les acteurs de la menace cyber-espionnage continuent de cibler les technologies qui ne prennent pas en charge les solutions de détection et de réponse (EDR) telles que les pare-feu, dispositifs IoT , hypervisors et VPN Technologies (par exemple Fortinet , Sonicwall , Pulse Secure et autres).Mandiant a enquêté sur des dizaines d'intrusions à Defense Industrial Base (DIB), le gouvernement, la technologie et les organisations de télécommunications au cours des années où les groupes de Chine-Nexus suspectés ont exploité des vulnérabilités zéro-jours et déployé des logiciels malveillants personnalisés pour voler des informations d'identification et maintenir un accès à long terme et déployéaux environnements victimes.
nous
Cyber espionage threat actors continue to target technologies that do not support endpoint detection and response (EDR) solutions such as firewalls, IoT devices, hypervisors and VPN technologies (e.g. Fortinet, SonicWall, Pulse Secure, and others). Mandiant has investigated dozens of intrusions at defense industrial base (DIB), government, technology, and telecommunications organizations over the years where suspected China-nexus groups have exploited zero-day vulnerabilities and deployed custom malware to steal user credentials and maintain long-term access to the victim environments. We |
Malware Vulnerability Threat Industrial | ★★★ | |
|
2023-03-16 09:30:00 | Chinese SilkLoader Malware Sold to Russian Cyber-Criminals (lien direct) | Cobalt Strike beacon loader migrates across criminal ecosystems | Malware | ★★ | |
|
2023-03-16 06:00:00 | Winter Vivern APT hackers use fake antivirus scans to install malware (lien direct) | An advanced hacking group named 'Winter Vivern' targets European government organizations and telecommunication service providers to conduct espionage. [...] | Malware | ★★ | |
 |
2023-03-16 00:49:59 | Check Point Research conducts Initial Security Analysis of ChatGPT4, Highlighting Potential Scenarios For Accelerated Cybercrime (lien direct) | >Highlights: Check Point Research (CPR) releases an initial analysis of ChatGPT4, surfacing five scenarios that can allow threat actors to streamline malicious efforts and preparations faster and with more precision. In some instances, even non-technical actors can create harmful tools. The five scenarios provided span impersonations of banks, reverse shells, C++ malware and more. Despite… | Malware Threat | ChatGPT | ★★ |
|
2023-03-15 23:55:25 | ASEC Weekly Malware Statistics (March 6th, 2023 – March 12th, 2023) (lien direct) | AhnLab Security response Center (ASEC) uses the ASEC automatic analysis system RAPIT to categorize and respond to known malware. This post will list weekly statistics collected from March 6th, 2023 (Monday) to March 12th, 2023 (Sunday). For the main category, Infostealer ranked top with 52.6%, followed by backdoor with 27.6%, downloader with 15.7%, ransomware with 3.0%, CoinMiner with 0.7%, and banking malware with 0.4%. Top 1 – AgentTesla AgentTesla is an infostealer that ranked first place with 25.4%. It leaks... | Ransomware Malware | ★★ |
To see everything:
Our RSS (filtrered)
