What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-01-08 16:45:00 | Nouvelles recherches: aborder les logiciels malveillants .NET avec une bibliothèque d'harmonie New Research: Tackling .NET Malware With Harmony Library (lien direct) |
La nouvelle recherche de Check Point explore la signification de la manipulation du code dans l'analyse des logiciels malveillants
New research from Check Point explores the significance of code manipulation in malware analysis |
Malware | ★★ | |
 |
2024-01-08 16:06:03 | NetGear, Hyundai Dernières comptes x piratés pour pousser les draineur cryptographique Netgear, Hyundai latest X accounts hacked to push crypto drainers (lien direct) |
Les comptes officiels de Netgear et Hyundai MEA Twitter / X (ainsi que plus de 160 000 abonnés) sont les derniers détournement des escroqueries conçues pour infecter les victimes potentielles avec des logiciels malveillants de draineur de portefeuille de crypto-monnaie.[...]
The official Netgear and Hyundai MEA Twitter/X accounts (together with over 160,000 followers) are the latest hijacked to push scams designed to infect potential victims with cryptocurrency wallet drainer malware. [...] |
Malware | ★★★ | |
 |
2024-01-08 13:17:18 | .Net Hooking & # 8211;Harmoniser le territoire géré .NET Hooking – Harmonizing Managed Territory (lien direct) |
> Recherche de: Jiri Vinopal Key Points Introduction pour un chercheur, un analyste ou un ingénieur inverse, la capacité de modifier la fonctionnalité de certaines parties du code est une étape cruciale, souvent nécessaire pour atteindre un résultat significatif pendant le processus d'analyse.Ce type d'instrumentation de code est généralement atteint par débogage, DBI (instrumentation binaire dynamique), [& # 8230;]
>Research by: Jiri Vinopal Key Points Introduction For a malware researcher, analyst, or reverse engineer, the ability to alter the functionality of certain parts of code is a crucial step, often necessary to reach a meaningful result during the analysis process. This kind of code instrumentation is usually reached by debugging, DBI (Dynamic Binary Instrumentation), […] |
Malware | ★★ | |
 |
2024-01-08 11:00:00 | Le siège de botnet: comment votre grille-pain pourrait renverser une société The Botnet siege: How your toaster could topple a corporation (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In addition to the overt signs of cyber threats we\'ve become conditioned to recognize, like ransomware emails and strange login requests, malicious actors are now utilizing another way to achieve their nefarious purposes — by using your everyday devices. These hidden dangers are known as botnets. Unbeknownst to most, our everyday devices, from toasters to smart fridges, can unwittingly be enlisted as footsoldiers in a digital army with the potential to bring down even corporate giants. This insidious force operates in silence, escaping the notice of even the most vigilant users. A recent report by Nokia shows that criminals are now using these devices more to orchestrate their attacks. In fact, cyber attacks targeting IoT devices are expected to double by 2025, further muddying the already murky waters. Let us go to the battlements of this siege, and we’ll tackle the topic in more depth. What is a botnet? Derived from the words “robot” and "network.", a botnet refers to a group of devices that have been infected with malicious software. Once infected, these devices are controlled remotely by a central server and are often used to carry out malicious activities such as cyber attacks, espionage, financial fraud, spam email campaigns, stealing sensitive information, or simply the further propagation of malware. How does a botnet attack work? A botnet attack begins with the infection of individual devices. Cybercriminals use various tactics to compromise these devices, such as sending malicious emails, exploiting software vulnerabilities, or tricking users into downloading malware. Everyday tech is notoriously prone to intrusion. The initial stages of building a botnet are often achieved with deceptively simple yet elegant tactics. Recently, a major US energy company fell prey to one such attack, owing to hundreds of phishing emails. By using QR code generators, the attacks combined two seemingly benign elements into a campaign that hit manufacturing, insurance, technology, and financial services companies, apart from the aforementioned energy companies. This new attack vector is now being referred to as Quishing — and unfortunately, it’s only going to become more prevalent. Once a device has been compromised, it becomes part of the botnet. The cybercriminal gains control over these infected devices, which are then ready to follow the attacker\'s commands. The attacker is then able to operate the botnet from a central command-and-control server to launch various types of attacks. Common ones include: Distributed denial-of-service (DDoS). The botnet floods a target website or server with overwhelming traffic, causing it to become inaccessible to legitimate users. Spam emails. Bots can be used to send out massive volumes of spam emails, often containing phishing scams or malware. Data theft. Botnets can steal sensitive information, such as login credentials or personal data, from the infected devices. Propagation. S | Threat Ransomware Spam Malware Vulnerability | ★★ | |
|
2024-01-07 11:36:46 | Les attaques de logiciels malveillants asyncrat furtifs ciblent l'infrastructure américaine pendant 11 mois Stealthy AsyncRAT malware attacks targets US infrastructure for 11 months (lien direct) |
Une campagne livrant les logiciels malveillants asyncrat à sélectionner des cibles a été actif depuis au moins les 11 mois, en utilisant des centaines d'échantillons de chargeur uniques et plus de 100 domaines.[...]
A campaign delivering the AsyncRAT malware to select targets has been active for at least the past 11 months, using hundreds of unique loader samples and more than 100 domains. [...] |
Malware | ★★ | |
 |
2024-01-06 12:18:00 | Groupe de pirates pro-iranien ciblant l'Albanie avec un malware d'essuie-glace sans justice Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware (lien direct) |
Le & nbsp; vague récente de cyberattaques & nbsp; ciblant les organisations albanaises impliquait l'utilisation d'un essuie-glace appelé & nbsp; sans justice.
La & nbsp; Ferminations & nbsp; provient de la société de cybersécurité Clearsky, qui a déclaré que les logiciels malveillants basés sur Windows "plantent le système d'exploitation d'une manière qu'il ne peut pas être redémarré".
Les intrusions ont été attribuées à un "groupe d'opération psychologique" iranien appelé Homeland
The recent wave of cyber attacks targeting Albanian organizations involved the use of a wiper called No-Justice. The findings come from cybersecurity company ClearSky, which said the Windows-based malware "crashes the operating system in a way that it cannot be rebooted." The intrusions have been attributed to an Iranian "psychological operation group" called Homeland |
Malware | ★★ | |
|
2024-01-06 11:40:56 | Google: L'API abusive des logiciels malveillants est un vol de jeton standard, pas un problème d'API Google: Malware abusing API is standard token theft, not an API issue (lien direct) |
Google minimise les rapports de malware abusant une API Google Chrome sans papiers pour générer de nouveaux cookies d'authentification lorsque des cookies auparavant volés ont expiré.[...]
Google is downplaying reports of malware abusing an undocumented Google Chrome API to generate new authentication cookies when previously stolen ones have expired. [...] |
Malware | ★★★ | |
 |
2024-01-05 21:14:02 | Bandook - A Persistent Threat That Keeps Evolving (lien direct) | #### Description
Bandook est un cheval de Troie à distance qui a été développé en permanence depuis 2007 et a été utilisé dans diverses campagnes par différents acteurs de menace au fil des ans.
Fortiguard Labs a identifié une nouvelle variante bandook distribuée via un fichier PDF en octobre dernier.Ce fichier PDF contient une URL raccourcie qui télécharge un fichier .7Z protégé par mot de passe.Une fois que la victime a extrait le malware avec le mot de passe dans le fichier PDF, le malware injecte sa charge utile dans MSInfo32.exe.Le composant d'injecteur décrypte la charge utile dans la table des ressources et l'injecte dans MSInfo32.exe.
Avant l'injection, une clé de registre est créée pour contrôler le comportement de la charge utile.Le nom de clé est le PID de MSInfo32.exe, et la valeur contient le code de contrôle de la charge utile.Une fois exécuté avec n'importe quel argument, Bandook crée une clé de registre contenant un autre code de contrôle qui permet à sa charge utile d'établir de la persistance, puis il injecte la charge utile dans un nouveau processus de MSInfo32.exe.La charge utile initialise les chaînes pour les noms clés des registres, drapeaux, API, etc. Après cela, il utilise le PID du MSInfo32.exe injecté pour trouver la clé de registre, puis décode et analyse la valeur clé pour effectuer la tâche spécifiée par lacode de contrôle.La variante que nous avons trouvée en octobre 2023 a deux codes de contrôle supplémentaires, mais son injecteur ne crée pas de registres pour eux.On demande à la charge utile de charger FCD.DLL, qui est téléchargé par un autre processus injecté et appelle la fonction d'initiation de FCD.DLL \\.L'autre mécanisme établit la persistance et exécute la copie de Bandook \\.Ces codes de contrôle inutilisés ont été supprimés de variantes encore plus récentes.
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/bandook-persistent-thereat-that-keeps-volving
#### Date de publication
5 janvier 2024
#### Auteurs)
Pei Han Liao
#### Description Bandook is a remote access trojan that has been continuously developed since 2007 and has been used in various campaigns by different threat actors over the years. FortiGuard Labs identified a new Bandook variant being distributed via a PDF file this past October. This PDF file contains a shortened URL that downloads a password-protected .7z file. After the victim extracts the malware with the password in the PDF file, the malware injects its payload into msinfo32.exe. The injector component decrypts the payload in the resource table and injects it into msinfo32.exe. Before the injection, a registry key is created to control the behavior of the payload. The key name is the PID of msinfo32.exe, and the value contains the control code for the payload. Once executed with any argument, Bandook creates a registry key containing another control code that enables its payload to establish persistence, and it then injects the payload into a new process of msinfo32.exe. The payload initializes strings for the key names of registries, flags, APIs, etc. After this, it uses the PID of the injected msinfo32.exe to find the registry key and then decodes and parses the key value to perform the task specified by the control code. The variant we found in October 2023 has two additional control codes, but its injector doesn\'t create registries for them. One asks the payload to load fcd.dll, which is downloaded by another injected process and calls fcd.dll\'s Init function. The other mechanism establishes persistence and executes Bandook\'s copy. These unused control codes have been removed from even newer variants. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving #### Publication Date January 5, 2024 #### Author(s) Pei Han Liao |
Threat Malware | ★★★ | |
|
2024-01-05 21:05:00 | Spectralblur: nouvelle menace de porte dérobée macOS des pirates nord-coréens SpectralBlur: New macOS Backdoor Threat from North Korean Hackers (lien direct) |
Les chercheurs en cybersécurité ont découvert une nouvelle porte dérobée Apple MacOS appelée & nbsp; Spectralblur & nbsp; qui chevauche une famille de logiciels malveillants connue qui a été attribuée aux acteurs de la menace nord-coréenne.
«SpectralBlur est une porte dérobée modérément capable qui peut télécharger / télécharger des fichiers, exécuter un shell, mettre à jour sa configuration, supprimer des fichiers, hiberner ou dormir, en fonction des commandes émises à partir du [
Cybersecurity researchers have discovered a new Apple macOS backdoor called SpectralBlur that overlaps with a known malware family that has been attributed to North Korean threat actors. “SpectralBlur is a moderately capable backdoor that can upload/download files, run a shell, update its configuration, delete files, hibernate, or sleep, based on commands issued from the [ |
Threat Malware | ★★★ | |
 |
2024-01-05 20:00:00 | La Corée du Nord fait ses débuts \\ 'spectralblur \\' malware au milieu de l'assaut macOS North Korea Debuts \\'SpectralBlur\\' Malware Amid macOS Onslaught (lien direct) |
La porte dérobée post-exploitation est la dernière d'une série d'outils personnalisés visant à espionner les utilisateurs d'Apple.
The post-exploitation backdoor is the latest in a string of custom tools aimed at spying on Apple users. |
Malware Tool | ★★★ | |
 |
2024-01-05 16:00:49 | Merck règle la réclamation d'assurance NotPetya, laissant la définition de la cyber-guerre non résolue Merck Settles NotPetya Insurance Claim, Leaving Cyberwar Definition Unresolved (lien direct) |
> Dans un cas de repère qui brouille les frontières entre la guerre cyber et cinétique, Merck a atteint un règlement avec les assureurs de plus d'une réclamation de 1,4 milliard de dollars provenant de l'attaque de logiciels malveillante NotPetya.
>In a landmark case that blurs the lines between cyber and kinetic warfare, Merck reached a settlement with insurers over a $1.4 billion claim stemming from the NotPetya malware attack. |
Malware | NotPetya | ★★ |
|
2024-01-05 15:31:00 | Orange Espagne fait face à BGP Traffic Rijack après un compte mûr piraté par des logiciels malveillants Orange Spain Faces BGP Traffic Hijack After RIPE Account Hacked by Malware (lien direct) |
L'opérateur de réseau mobile Orange Espagne a subi une panne d'Internet pendant plusieurs heures le 3 janvier après qu'un acteur de menace a utilisé des informations d'identification administratrices capturées au moyen d'un malware de voleur pour détourner le trafic du protocole Border Gateway (BGP).
"Le compte orange dans le centre de coordination du réseau IP (mûr) a subi un accès inapproprié qui a affecté la navigation de certains de nos clients", le
Mobile network operator Orange Spain suffered an internet outage for several hours on January 3 after a threat actor used administrator credentials captured by means of stealer malware to hijack the border gateway protocol (BGP) traffic. "The Orange account in the IP network coordination center (RIPE) has suffered improper access that has affected the browsing of some of our customers," the |
Threat Malware Mobile | ★★★ | |
|
2024-01-05 13:14:01 | Nouveau \\ 'SpectralBlur \\' MacOS Backdoor lié à la Corée du Nord New \\'SpectralBlur\\' macOS Backdoor Linked to North Korea (lien direct) |
SpectralBlur est une nouvelle porte dérobée macOS qui montre des similitudes avec le malware de Kandykorn de Kandykorn. de Kandykorn.
SpectralBlur is a new macOS backdoor that shows similarities with North Korean hacking group\'s KandyKorn malware. |
Malware | ★★★ | |
 |
2024-01-05 12:32:58 | North Korea Debuts \'SpectralBlur\' Malware Amid macOS Onslaught (lien direct) | SpectralBlur est une nouvelle porte dérobée macOS qui montre des similitudes avec le malware de Kandykorn de Kandykorn. de Kandykorn.
SpectralBlur is a new macOS backdoor that shows similarities with North Korean hacking group\'s KandyKorn malware. |
Malware | ★★ | |
|
2024-01-05 11:00:00 | Chardeur asyncrat: obscurcissement, DGA, leurres et Govno AsyncRAT loader: Obfuscation, DGAs, decoys and Govno (lien direct) |
Executive summary
AT&T Alien Labs has identified a campaign to deliver AsyncRAT onto unsuspecting victim systems. During at least 11 months, this threat actor has been working on delivering the RAT through an initial JavaScript file, embedded in a phishing page. After more than 300 samples and over 100 domains later, the threat actor is persistent in their intentions.
Key takeaways:
The victims and their companies are carefully selected to broaden the impact of the campaign. Some of the identified targets manage key infrastructure in the US.
The loader uses a fair amount of obfuscation and anti-sandboxing techniques to elude automatic detections.
As part of the obfuscation, the attacker also uses a lot of variable’s names and values, which are randomly generated to harden pivot/detection by strings.
DGA domains are recycled every week and decoy redirections when a VM is identified to avoid analysis by researchers.
The ongoing registration of new and active domains indicates this campaign is still active.
There is an OTX pulse with more information.
Analysis
AsyncRAT is an open-source remote access tool released in 2019 and is still available in Github. As with any remote access tool, it can be leveraged as a Remote Access Trojan (RAT), especially in this case where it is free to access and use. For that reason, it is one of the most commonly used RATs; its characteristic elements include: Keylogging, exfiltration techniques, and/or initial access staging for final payload delivery.
Since it was initially released, this RAT has shown up in several campaigns with numerous alterations due to its open-sourced nature, even used by the APT Earth Berberoka as reported by TrendMicro.
In early September, AT&T Alien Labs observed a spike in phishing emails, targeting specific individuals in certain companies. The gif attachment led to a svg file, which also led to a download of a highly obfuscated JavaScript file, followed by other obfuscated PowerShell scripts and a final execution of an AsyncRAT client. This peculiarity was also reported by some users in X (formerly Twitter), like reecDeep and Igal Lytzki. Certain patterns in the code allowed us to pivot and look for more samples in this campaign, resulting in samples going back to February 2023. The registration of domains and subsequent AsyncRAT samples is still being observed at the time of writing this blog.
Figure1: Number of samples observed by Alien Labs in this campaign.
The modus operandi of the loader involves several stages which are further obfuscated by a Command and Control (C&C) server checking if the victim could be a sandbox prior to deploying the main AsyncRAT payload. In particular, when the C&C server doesn’t rely on the parameters sent, usually after stage 2, or when it is not expecting requests on a particular domain at that time, the C&C redirects to a benign page.
Figure 2. Execution flow.
During the whole campaign, JavaScript files have been delivered to targete |
Threat Malware Tool Technical | ★★ | |
|
2024-01-05 10:46:00 | NOUVEAUX RATS BANGOOK RAT Resurfaces, ciblant les machines Windows New Bandook RAT Variant Resurfaces, Targeting Windows Machines (lien direct) |
Une nouvelle variante de Troie d'accès à distance appelé & nbsp; bandook & nbsp; a été observée se propage via des attaques de phishing dans le but d'infiltrer les machines Windows, soulignant l'évolution continue du malware.
Fortinet Fortiguard Labs, qui a identifié l'activité en octobre 2023, a déclaré que les logiciels malveillants sont distribués via un fichier PDF qui intègre un lien vers une archive .7Z protégé par mot de passe.
"
A new variant of remote access trojan called Bandook has been observed being propagated via phishing attacks with an aim to infiltrate Windows machines, underscoring the continuous evolution of the malware. Fortinet FortiGuard Labs, which identified the activity in October 2023, said the malware is distributed via a PDF file that embeds a link to a password-protected .7z archive. “ |
Malware | ★★ | |
|
2024-01-04 22:13:12 | UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) | #### Description
Le groupe de menaces UAC-0050 s'est avéré utiliser une stratégie avancée qui permet un canal de transfert de données plus clandestin, contournant efficacement les mécanismes de détection utilisés par la détection et la réponse des terminaux (EDR) et les systèmes antivirus.
L'arme de choix du groupe est Remcosrat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage.Cependant, dans leur dernière tournure opérationnelle, le groupe UAC-0050 a intégré une méthode de tuyau pour la communication interprodique, présentant leur adaptabilité avancée.Le vecteur d'attaque initial n'a pas encore été identifié, bien que des indications penchent vers le phishing ou les e-mails de spam.Le fichier LNK est chargé de lancer le téléchargement d'un fichier HTA.Dans ce fichier HTA se trouve unLe script VBS qui, lors de l'exécution, déclenche un script PowerShell.Ce script PowerShell s'efforce de télécharger un malveillantPayload (word_update.exe) à partir d'un serveur.Lors du lancement, word_update.exe exécute CMD.exe et partage des données malveillantes via un tuyau.Par conséquent, cela conduit au lancement d'Explorer.exe avec le remcosrat malveillant résidant à la mémoire d'Explorer.exe.
La version REMCOS identifiée est 4.9.2 Pro, et elle a recueilli avec succès des informations sur la victime, y compris le nom de l'ordinateur et le nom d'utilisateur.Le remcosrat supprime les cookies et les données de connexion des navigateurs suivants: Internet Explorer, Firefox et Chrome.
#### URL de référence (s)
1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method
#### Date de publication
4 janvier 2024
#### Auteurs)
Recherche de menace de monture
#### Description The UAC-0050 threat group has been found to be using an advanced strategy that allows for a more clandestine data transfer channel, effectively circumventing detection mechanisms employed by Endpoint Detection and Response (EDR) and antivirus systems. The group\'s weapon of choice is RemcosRAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal. However, in their latest operational twist, the UAC-0050 group has integrated a pipe method for interprocess communication, showcasing their advanced adaptability. The initial attack vector is yet to be pinpointed, though indications lean towards phishing or spam emails. The LNK file is responsible for initiating the download of an HTA file. Within this HTA file lies a VBS script that, upon execution, triggers a PowerShell script. This PowerShell script endeavors to download a malicious payload (word_update.exe) from a server. Upon launching, word_update.exe executes cmd.exe and shares malicious data through a pipe. Consequently, it leads to the launch of explorer.exe with the malicious RemcosRAT residing in the memory of explorer.exe. The Remcos version identified is 4.9.2 Pro, and it has successfully gathered information about the victim, including the computer name and username. RemcosRAT removes cookies and login data from the following browsers: Internet Explorer, Firefox, and Chrome. #### Reference URL(s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Publication Date January 4, 2024 #### Author(s) Uptycs Threat Research |
Threat Spam Malware | ★★ | |
 |
2024-01-04 18:15:00 | Les pirates utilisant des logiciels malveillants Remcos pour espionner l'Ukraine sont devenus furtifs, les chercheurs trouvent Hackers using Remcos malware to spy on Ukraine have become stealthier, researchers find (lien direct) |
Un groupe de pirates lié aux opérations de cyber-espionnage contre l'Ukraine améliore ses tactiques pour devenir plus secrètes et efficaces, selon un nouveau rapport.Suivi en tant que UAC-0050, le groupe déploie principalement l'outil de surveillance à distance Remcos pour cibler les agences gouvernementales en Ukraine.Les chercheurs de la société de cybersécurité Uptycs ont découvert une nouvelle méthode que
A hacker group linked to cyber espionage operations against Ukraine is improving its tactics to become more secretive and effective, according to a new report. Tracked as UAC-0050, the group primarily deploys the remote surveillance tool Remcos to target government agencies in Ukraine. Researchers at the cybersecurity firm Uptycs have discovered a new method that |
Malware Tool | ★★ | |
|
2024-01-04 14:25:00 | Groupe UAC-0050 utilisant de nouvelles tactiques de phishing pour distribuer Remcos Rat UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) |
L'acteur de menace connu sous le nom de UAC-0050 tire parti des attaques de phishing pour distribuer Remcos Rat en utilisant de nouvelles stratégies pour échapper à la détection des logiciels de sécurité.
"L'arme de choix du groupe est Remcos Rat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage", les chercheurs en sécurité Uptycs Karthick Kumar et Shilpesh Trivedi & nbsp; a dit & nbsp; in in
The threat actor known as UAC-0050 is leveraging phishing attacks to distribute Remcos RAT using new strategies to evade detection from security software. "The group\'s weapon of choice is Remcos RAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal," Uptycs security researchers Karthick Kumar and Shilpesh Trivedi said in |
Threat Malware | ★★★ | |
 |
2024-01-04 13:15:09 | MALWOWIRS INFOSTELER, Mot de passe faible laisse Orange Espagne mûr pour la cueillette Infostealer malware, weak password leaves Orange Spain RIPE for plucking (lien direct) |
pas de 2FA ou de caractères spéciaux pour empêcher la prise de contrôle de la base de données et BGP Hijack un mot de passe faible exposé par les logiciels malveillants infosiner.…
No 2FA or special characters to prevent database takeover and BGP hijack A weak password exposed by infostealer malware is being blamed after a massive outage at Orange Spain disrupted around half of its network\'s traffic.… |
Malware | ★★★ | |
|
2024-01-04 10:11:11 | Le piratage de compte mûr mène à une grande panne d'Internet chez Orange Espagne RIPE Account Hacking Leads to Major Internet Outage at Orange Spain (lien direct) |
> L'Internet d'Orange Spain \\ est tombé pendant plusieurs heures après le piratage de son compte mûr, probablement après que les logiciels malveillants ont volé les informations d'identification.
>Orange Spain\'s internet went down for several hours after its RIPE account was hacked, likely after malware stole the credentials. |
Malware | ★★★★ | |
|
2024-01-04 06:00:10 | Cybersecurity Stop of the Month: MFA Manipulation (lien direct) | This blog post is part of a monthly series exploring the ever-evolving tactics of today\'s cybercriminals. Cybersecurity Stop of the Month focuses on the critical first three steps in the attack chain in the context of email threats. The series is designed to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain: reconnaissance, initial compromise and persistence. So far in this series, we have covered the following types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing QR code phishing Telephone-oriented attack delivery (TOAD) Payroll diversion In this post, we examine an attack technique called multifactor (MFA) manipulation. This malicious post-compromise attack poses a significant threat to cloud platforms. We cover the typical attack sequence to help you understand how it works. And we dive deeper into how Proofpoint account takeover capabilities detected and prevented one of these threats for our customer. Background MFA manipulation is an advanced technique where bad actors introduce their own MFA method into a compromised cloud account. These attackers are used after a cloud account takeover attack, or ATO. ATOs are an insidious threat that are alarmingly common. Recent research by Proofpoint threat analysts found that in 2023 almost all businesses (96%) were targeted by cloud-based attacks. What\'s more, a whopping 60% were successfully compromised and had at least one account taken over. MFA manipulation attacks can work several ways with bad actors having multiple options for getting around MFA. One way is to use an adversary-in-the-middle (AiTM) attack. This is where the bad actor inserts a proxy server between the victim and the website that they\'re trying to log into. Doing so enables them to steal that user\'s password as well as the session cookie. There\'s no indication to the user that they\'ve been attacked-it just seems like they\'ve logged into their account as usual. However, the attackers have what they need to establish persistence, which means they can maintain access even if the stolen MFA credentials are revoked or deemed invalid. The scenario Recently, Proofpoint intercepted a series of MFA manipulation attacks on a large real estate company. In one case, the bad actors used an AiTM attack to steal the credentials of the firm\'s financial controller as well as the session cookie. Once they did that, they logged into that user\'s business account and generated 27 unauthorized access activities. The threat: How did the attack happen? Here is a closer look at how this MFA manipulation attack played out: 1. Bad actors used the native “My Sign-Ins” app to add their own MFA methods to compromise Microsoft 365 accounts. We observed that the attackers registered their own authenticator app with notification and code. They made this move right after they gained access to the hijacked account as part of an automated attack flow execution. This, in turn, allowed them to secure their foothold within the targeted cloud environment. The typical MFA manipulation flow using Microsoft\'s “My Sign-Ins” app. 2. After the compromise, the attackers demonstrated a sophisticated approach. They combined MFA manipulation with OAuth application abuse. With OAuth abuse, an attacker authorizes and/or uses a third-party app to steal data, spread malware or execute other malicious activities. Attackers also use the abused app to maintain persistent access to specific resources even after their initial access to a compromised account has been cut off. 3. The attackers authorized the seemingly benign application, “PERFECTDATA SOFTWARE,” to gain persistent access to the user\'s account and the systems, as well as the resources and applications that the user could access. The permissions the attackers requested for this app included: | Threat Malware Cloud Tool Vulnerability | ★★★ | |
|
2024-01-04 00:02:44 | Microsoft tue l'installation de l'application Windows sur le Web, encore une fois Microsoft kills off Windows app installation from the web, again (lien direct) |
Le package de Noël désagréable permet aux logiciels malveillants de descendre la cheminée Microsoft a désactivé un protocole qui a permis l'installation d'applications Windows après avoir constaté que les mécréants abusaient le mécanisme d'installer des logiciels malveillants.…
Unpleasant Christmas package lets malware down the chimney Microsoft has disabled a protocol that allowed the installation of Windows apps after finding that miscreants were abusing the mechanism to install malware.… |
Malware | ★★★ | |
|
2024-01-03 19:16:54 | APT28: de l'attaque initiale à la création de menaces à un contrôleur de domaine en une heure APT28: From Initial Attack to Creating Threats to a Domain Controller in an Hour (lien direct) |
#### Description
Entre le 15 et 25 décembre, 2023, une série de cyberattaques a été identifiée impliquant la distribution des e-mails contenant des liens vers des «documents» présumés parmi les organisations gouvernementales.
Cliquer sur ces liens a entraîné une infection des logiciels malveillants.L'enquête a révélé que les liens ont redirigé les victimes vers un site Web où un téléchargement basé sur JavaScript a lancé un fichier de raccourci.L'ouverture de ce fichier a déclenché une commande PowerShell pour télécharger et exécuter un document de leurre, un interprète Python et un fichier Masepie classifié nommé client.py.Par la suite, divers outils, notamment OpenSSH, Steelhook PowerShell Scripts et la porte dérobée OceanMap ont été téléchargés, avec des outils supplémentaires comme Impacket et SMBEXEC créés pour la reconnaissance du réseau et le mouvement latéral.Les tactiques globales, les techniques et les outils utilisés ont indiqué le groupe APT28.Notamment, la stratégie d'attaque a indiqué un plan plus large pour compromettre l'ensemble du système d'information et de communication de l'organisation, mettant l'accent sur la menace potentielle pour l'ensemble du réseau.Des attaques similaires ont également été signalées contre des organisations polonaises.
#### URL de référence (s)
1. https://cert.gov.ua/article/6276894
#### Date de publication
3 janvier 2024
#### Auteurs)
Certificat
#### Description Between December 15-25, 2023, a series of cyberattacks were identified involving the distribution of emails containing links to purported "documents" among government organizations. Clicking on these links resulted in malware infecting computers. Investigation revealed that the links redirected victims to a website where a JavaScript-based download initiated a shortcut file. Opening this file triggered a PowerShell command to download and execute a decoy document, a Python interpreter, and a classified MASEPIE file named Client.py. Subsequently, various tools including OPENSSH, STEELHOOK PowerShell scripts, and the OCEANMAP backdoor were downloaded, with additional tools like IMPACKET and SMBEXEC created for network reconnaissance and lateral movement. The overall tactics, techniques, and tools used pointed to the APT28 group. Notably, the attack strategy indicated a broader plan to compromise the entire organization\'s information and communication system, emphasizing the potential threat to the entire network. Similar attacks were also reported against Polish organizations. #### Reference URL(s) 1. https://cert.gov.ua/article/6276894 #### Publication Date January 3, 2024 #### Author(s) CERT-UA |
Threat Malware Tool | APT 28 | ★★★★ |
|
2024-01-03 18:46:00 | MALWORED Utilisation de Google Multilogin Exploit pour maintenir l'accès malgré la réinitialisation du mot de passe Malware Using Google MultiLogin Exploit to Maintain Access Despite Password Reset (lien direct) |
Les informations sur le vol de malwares profitent activement d'un point de terminaison Google Oauth sans papiers nommé Multilogin pour détourner les sessions utilisateur et permettent un accès continu aux services Google même après une réinitialisation de mot de passe.
Selon CloudSek, le & nbsp; Critical Exploit & NBSP; facilite la persistance de la session et la génération de cookies, permettant aux acteurs de menace de maintenir l'accès à une session valide dans un
Information stealing malware are actively taking advantage of an undocumented Google OAuth endpoint named MultiLogin to hijack user sessions and allow continuous access to Google services even after a password reset. According to CloudSEK, the critical exploit facilitates session persistence and cookie generation, enabling threat actors to maintain access to a valid session in an |
Threat Malware | ★★ | |
 |
2024-01-03 15:18:25 | Nouvelles recherches: les attaques de phishing ont volé 295 millions de dollars en crypto en 2023 New Research: Phishing Attacks Stole $295 Million In Crypto In 2023 (lien direct) |
Malware | ★★★ | ||
|
2024-01-03 15:04:12 | Plusieurs infostateurs utilisant des cookies persistants pour détourner les comptes Google Several Infostealers Using Persistent Cookies to Hijack Google Accounts (lien direct) |
> Une vulnérabilité dans le processus d'authentification de Google \\ permet aux logiciels malveillants de restaurer les cookies et de détourner les sessions utilisateur.
>A vulnerability in Google\'s authentication process allows malware to restore cookies and hijack user sessions. |
Malware Vulnerability | ★★★ | |
|
2024-01-03 11:43:54 | 21 nouvelles familles de logiciels malveillants Mac ont émergé en 2023 21 New Mac Malware Families Emerged in 2023 (lien direct) |
> Au total, 21 nouvelles familles de logiciels malveillants ciblant les systèmes MacOS ont été découvertes en 2023, soit une augmentation de 50% par rapport à 2022.
>A total of 21 new malware families targeting macOS systems were discovered in 2023, a 50% increase compared to 2022. |
Malware Studies | ★★★★ | |
 |
2024-01-02 23:46:43 | Détection de la reconnaissance interne dans les environnements de domaine en utilisant EDR Detection of Internal Reconnaissance in Domain Environments Using EDR (lien direct) |
Alors que les acteurs de la menace peuvent augmenter les bénéfices en installant des co -miners ouUn logiciel malveillant de porte dérobée ou de rat pour prendre le contrôle du système infecté.Les infostelleurs sont utilisés dans le but de voler des informations sur les utilisateurs dans le système, mais parfois, ils sont utilisés pour obtenir des données qui peuvent être utilisées pour prendre le contrôle du système cible afin d'installer finalement des co -miners ou des ransomwares.Cela peut ne pas être important si l'attaque cible ...
While threat actors can raise a profit by installing CoinMiners or ransomware strains after initial access, they often first install a backdoor or RAT malware to seize control over the infected system. Infostealers are used for the purpose of stealing user information in the system, but sometimes, they are used to obtain data that can be utilized in gaining control over the target system to ultimately install CoinMiners or ransomware. This may not be of significance if the attack target... |
Threat Ransomware Malware | ★★★ | |
|
2024-01-02 19:59:14 | Google mot de passe ne réinitialise pas suffisamment pour arrêter ces souches de logiciels malveillants qui volent les informations Google password resets not enough to stop these info-stealing malware strains (lien direct) |
Maintenant, chaque ingénieur saute sur le trou de sécurité du compte de Big G \\ Les chercheurs en sécurité affirment que les logiciels malveillants d'information peuvent toujours accéder aux victimes \\ 'compromises des comptes Google même après la modification des mots de passe.… | Malware | ★★★ | |
|
2024-01-01 12:22:00 | Nouveau Jinxloader ciblant les utilisateurs avec Formbook et Xloader malware New JinxLoader Targeting Users with Formbook and XLoader Malware (lien direct) |
Un nouveau chargeur de logiciels malveillants basé sur GO appelé & nbsp; Jinxloader & nbsp; est utilisé par les acteurs de la menace pour fournir des charges utiles à la prochaine étape telles que & nbsp; FormBook et son successeur xloader.
Le & nbsp; divulgation & nbsp; provient des sociétés de cybersécurité Palo Alto Networks Unit 42 et Symantec, qui ont tous deux mis en évidence des séquences d'attaques en plusieurs étapes qui ont conduit au déploiement de Jinxloader par des attaques de phishing.
"Le
A new Go-based malware loader called JinxLoader is being used by threat actors to deliver next-stage payloads such as Formbook and its successor XLoader. The disclosure comes from cybersecurity firms Palo Alto Networks Unit 42 and Symantec, both of which highlighted multi-step attack sequences that led to the deployment of JinxLoader through phishing attacks. "The |
Threat Malware | ★★★ | |
|
2024-01-01 11:05:10 | Les opérations d'application de la loi ciblant la cybercriminalité en 2023 The law enforcement operations targeting cybercrime in 2023 (lien direct) |
En 2023, nous avons vu de nombreuses opérations d'application de la loi ciblant les opérations de cybercriminalité, notamment des escroqueries de crypto-monnaie, des attaques de phishing, un vol d'identification, un développement de logiciels malveillants et des attaques de ransomwares.[...]
In 2023, we saw numerous law enforcement operations targeting cybercrime operations, including cryptocurrency scams, phishing attacks, credential theft, malware development, and ransomware attacks. [...] |
Ransomware Malware Legislation | ★★★ | |
|
2023-12-31 19:14:22 | Microsoft désactive l'installateur de l'application après que la fonctionnalité est abusée pour les logiciels malveillants Microsoft Disables App Installer After Feature is Abused for Malware (lien direct) |
> Par deeba ahmed
Selon l'équipe Microsoft Threat Intelligence, les acteurs de la menace étiquetés comme \\ 'motivé financièrement \' utilisent le schéma URI MS-Appinstaller pour la distribution de logiciels malveillants.
Ceci est un article de HackRead.com Lire le post original: Microsoft désactive l'installateur de l'application après que la fonctionnalité est abusée pour les logiciels malveillants
>By Deeba Ahmed According to the Microsoft Threat Intelligence Team, threat actors labeled as \'financially motivated\' utilize the ms-appinstaller URI scheme for malware distribution. This is a post from HackRead.com Read the original post: Microsoft Disables App Installer After Feature is Abused for Malware |
Threat Malware Tool | ★★★ | |
|
2023-12-29 18:08:28 | MALWORED Tirageant Google Cookie Exploit via la fonctionnalité OAuth2 Malware Leveraging Google Cookie Exploit via OAuth2 Functionality (lien direct) |
> Par deeba ahmed
Entre autres, les développeurs de la tristement célèbre Lumma, un malware infosélérateur, utilisent déjà l'exploit en utilisant Advanced & # 8230;
Ceci est un article de HackRead.com Lire le post d'origine: MALWORED Tirageant Google Cookie Exploit via la fonctionnalité OAuth2
>By Deeba Ahmed Among others, developers of the infamous Lumma, an infostealer malware, are already using the exploit by employing advanced… This is a post from HackRead.com Read the original post: Malware Leveraging Google Cookie Exploit via OAuth2 Functionality |
Threat Malware | ★★★ | |
|
2023-12-29 16:11:00 | Cert-Ua découvre une nouvelle vague de logiciels malveillants distribuant OceanMap, Masepie, Steelhook CERT-UA Uncovers New Malware Wave Distributing OCEANMAP, MASEPIE, STEELHOOK (lien direct) |
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a mis en garde contre une nouvelle campagne de phishing orchestrée par le & NBSP; Russie-Linked & NBSP; APT28 & NBSP; Group & NBSP; pour déployer des logiciels malveillants non documentés auparavant tels que OceanMap, MasEpie et Steelhook pour récolter des informations sensibles.
L'activité, qui était & nbsp; détecté & nbsp; par l'agence entre le 15 et le 25 décembre 2023, cible les entités gouvernementales
The Computer Emergency Response Team of Ukraine (CERT-UA) has warned of a new phishing campaign orchestrated by the Russia-linked APT28 group to deploy previously undocumented malware such as OCEANMAP, MASEPIE, and STEELHOOK to harvest sensitive information. The activity, which was detected by the agency between December 15 and 25, 2023, targets government entities |
Malware | ★★★ | |
|
2023-12-29 13:18:00 | Nouveau malware trouvé dans l'analyse des hacks russes sur l'Ukraine, en Pologne New malware found in analysis of Russian hacks on Ukraine, Poland (lien direct) |
Les chercheurs ont découvert une nouvelle opération de cyber contre des organisations ukrainiennes et polonaises, l'attribuant au groupe de pirates russes contrôlé par l'État connu sous le nom de Fancy Bear.Lors des attaques de décembre, des pirates russes ont envoyé des courriels de phishing à leurs victimes avec des pièces jointes malveillantes.Une fois ouverts, ces pièces jointes infectées par les appareils ciblés par le nouveau malware Masepie, selon [un
Researchers have discovered a new cyber operation against Ukrainian and Polish organizations, attributing it to the Russian state-controlled hacker group known as Fancy Bear. During the attacks in December, Russian hackers sent phishing emails to their victims with malicious attachments. Once opened, these attachments infected targeted devices with the novel Masepie malware, according to [a |
Malware | APT 28 | ★★★ |
|
2023-12-29 11:13:55 | Les logiciels malveillants abusent google oauth point de terminaison à \\ 'revive \\' cookies, comptes de hijack Malware abuses Google OAuth endpoint to \\'revive\\' cookies, hijack accounts (lien direct) |
Plusieurs familles de logiciels malveillants de vol d'informations abusent d'un point de terminaison Google Oauth sans papiers nommé "Multilogin" pour restaurer les cookies d'authentification expirés et se connecter aux comptes des utilisateurs \\ ', même si le mot de passe d'un compte \\ a été réinitialisé.[...]
Multiple information-stealing malware families are abusing an undocumented Google OAuth endpoint named "MultiLogin" to restore expired authentication cookies and log into users\' accounts, even if an account\'s password was reset. [...] |
Malware | ★★★ | |
|
2023-12-29 10:46:00 | Microsoft désactive le protocole d'installation de l'application MSIX largement utilisée dans les attaques de logiciels malveillants Microsoft Disables MSIX App Installer Protocol Widely Used in Malware Attacks (lien direct) |
Microsoft a déclaré jeudi qu'il désactivant à nouveau le gestionnaire de protocole & nbsp; MS-Appinstaller & NBSP; à la suite de ses abus de plusieurs acteurs de menace pour distribuer des logiciels malveillants.
«L'activité de l'acteur de menace observée abuse
Microsoft on Thursday said it\'s once again disabling the ms-appinstaller protocol handler by default following its abuse by multiple threat actors to distribute malware. “The observed threat actor activity abuses the current implementation of the ms-appinstaller protocol handler as an access vector for malware that may lead to ransomware distribution,” the Microsoft Threat Intelligence |
Threat Ransomware Malware Patching | ★★★★ | |
|
2023-12-28 21:04:58 | Kaspersky révèle le matériel précédemment inconnu \\ 'fonctionnalité \\' exploitée dans les attaques d'iPhone Kaspersky reveals previously unknown hardware \\'feature\\' exploited in iPhone attacks (lien direct) |
\\ 'Ce n'est pas une vulnérabilité ordinaire \' SEC PROS Expliquez l'équipe mondiale de recherche et d'analyse de Kaspersky \\ a exposé une "fonctionnalité" précédemment inconnue dans les iPhones Apple qui ont permisMALWORED pour contourner la protection de la mémoire basée sur le matériel.… | Malware Mobile Vulnerability | ★★★ | |
|
2023-12-28 20:30:00 | Microsoft désactive le protocole d'installation de l'application abusée par des pirates Microsoft disables app installation protocol abused by hackers (lien direct) |
Microsoft a déclaré jeudi qu'il avait désactivé une fonctionnalité destinée à rationaliser l'installation de l'application après avoir découvert des groupes de piratage financièrement motivés à l'utiliser pour distribuer des logiciels malveillants.La fonctionnalité, le protocole MS-Appinstaller , essentiellementPermet aux gens de sauter une ou deux étapes lors de l'ajout d'applications Windows à leurs appareils.Les cybercriminels ont compris qu'il avait également fourni un moyen
Microsoft said Thursday that it disabled a feature intended to streamline app installation after it discovered financially motivated hacking groups using it to distribute malware. The feature, the ms-appinstaller protocol, essentially allowed people to skip a step or two when adding Windows apps to their devices. Cybercriminals figured out that it also provided a way |
Malware | ★ | |
|
2023-12-28 19:18:50 | Trend Analysis on Kimsuky Group\'s Attacks Using AppleSeed (lien direct) | #### Description
Le groupe de menaces Kimsuky, connu pour être soutenu par la Corée du Nord, est actif depuis 2013. Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs académiques.
Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.Alors que le groupe Kimsuky utilise généralement des attaques de phishing de lance pour un accès initial, la plupart de leurs attaques récentes impliquent l'utilisation de logiciels malveillants de type raccourci au format de fichier LNK.Bien que les logiciels malveillants LNK constituent une grande partie des attaques récentes, des cas utilisant des javascripts ou des documents malveillants continuent d'être détectés.Ces cas d'attaque qui utilisent des logiciels malveillants de type JavaScript impliquent généralement la distribution d'applications.En plus de JavaScript, des logiciels malwares de macro Excel sont également utilisés pour installer Appleseed.Appleseed est une porte dérobée qui peut recevoir les commandes de la menace acteur \\ du serveur C&C et exécuter les commandes reçues.L'acteur de menace peut utiliser Appleseed pour contrôler le système infecté.Il propose également des fonctionnalités telles qu'un téléchargeur qui installe des logiciels malveillants supplémentaires, Keylogging et prenant des captures d'écran, et en volant des informations en collectant des fichiers dans le système utilisateur et en les envoyant.Alphaseed est un logiciel malveillant développé dans Golang et prend en charge des fonctionnalités similaires à Appleseed telles que l'exécution des commandes et l'infostoritration.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60054/
#### Date de publication
27 décembre 2023
#### Auteurs)
Sanseo
#### Description The Kimsuky threat group, known to be supported by North Korea, has been active since 2013. The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. While the Kimsuky group typically uses spear phishing attacks for initial access, most of their recent attacks involve the use of shortcut-type malware in LNK file format. Although LNK malware comprise a large part of recent attacks, cases using JavaScripts or malicious documents are continuing to be detected. Such attack cases that use JavaScript-type malware usually involve the distribution of AppleSeed. In addition to JavaScript, Excel macro malware are also used to install AppleSeed. AppleSeed is a backdoor that can receive the threat actor\'s commands from the C&C server and execute the received commands. The threat actor can use AppleSeed to control the infected system. It also offers features such as a downloader that installs additional malware, keylogging and taking screenshots, and stealing information by collecting files from the user system and sending them. AlphaSeed is a malware developed in Golang and supports similar features to AppleSeed such as command execution and infostealing. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60054/ #### Publication Date December 27, 2023 #### Author(s) Sanseo |
Threat Malware Prediction | APT 43 | ★★★ |
|
2023-12-28 16:19:25 | Mod de jeu Steam Breached pour pousser les logiciels malveillants de voler les mots de passe Steam game mod breached to push password-stealing malware (lien direct) |
Downfall, une extension des fans pour le jeu de stratégie indépendant de Slay the Spire the Spire, a été violée le jour de Noël pour pousser le malware du voleur d'informations d'Epsilon à l'aide du système de mise à jour Steam.[...]
Downfall, a fan expansion for the popular Slay the Spire indie strategy game, was breached on Christmas Day to push Epsilon information stealer malware using the Steam update system. [...] |
Malware | ★★★ | |
|
2023-12-28 16:19:25 | Mod de jeu sur Steam Breaché pour pousser les logiciels malveillants de vol de mots de passe Game mod on Steam breached to push password-stealing malware (lien direct) |
Downfall, une extension des fans pour le jeu de stratégie indépendant de Slay the Spire the Spire, a été violée le jour de Noël pour pousser le malware du voleur d'informations d'Epsilon à l'aide du système de mise à jour Steam.[...]
Downfall, a fan expansion for the popular Slay the Spire indie strategy game, was breached on Christmas Day to push Epsilon information stealer malware using the Steam update system. [...] |
Malware | ★★★ | |
 |
2023-12-28 15:10:18 | Bern aveugle d'Excel \\: le déploiement stratégique de l'agent Tesla Malware par les cyberattaques Excel\\'s Blind Spot: The Strategic Deployment of Agent Tesla Malware by Cyberattackers (lien direct) |
Dans le paysage en constante évolution des cyber-menaces, une tendance notable est apparue: l'exploitation de ...
In the ever-evolving landscape of cyber threats, a notable trend has emerged: the exploitation of... |
Malware Prediction | ★★★ | |
|
2023-12-28 14:04:48 | Microsoft désactive le gestionnaire de protocole MSIX abusé des attaques de logiciels malveillants Microsoft disables MSIX protocol handler abused in malware attacks (lien direct) |
Microsoft a à nouveau désactivé le gestionnaire de protocole MSIX MS-Appinstaller après que plusieurs groupes de menaces motivés financièrement l'ont abusé pour infecter les utilisateurs de Windows par malware.[...]
Microsoft has again disabled the MSIX ms-appinstaller protocol handler after multiple financially motivated threat groups abused it to infect Windows users with malware. [...] |
Threat Malware | ★★★ | |
|
2023-12-28 13:27:00 | La surveillance insouciante des serveurs SSH Linux dessine des cryptomineurs, des bots DDOS Careless oversight of Linux SSH servers draws cryptominers, DDoS bots (lien direct) |
Les cybercriminels ciblent les serveurs Linux SSH mal gérés pour installer des logiciels malveillants pour la cryptomiminage ou l'effort d'attaques distribuées au déni de service, ont révélé des chercheurs.Selon un rapport de AHNLAB publié cette semaine, une mauvaise gestion des mots de passe et un correctif de vulnérabilité laxiste peuvent permettre aux pirates d'exploiter les serveurs pour la cybercriminalité.Les serveurs SSH offrent un accès à distance sécurisé à un
Cybercriminals are targeting poorly managed Linux SSH servers to install malware for cryptomining or carrying out distributed denial-of-service attacks, researchers have found. According to a report by AhnLab released this week, bad password management and lax vulnerability patching can allow hackers to exploit the servers for cybercrime. SSH servers provide secure remote access to a |
Threat Malware Patching Vulnerability | ★★ | |
|
2023-12-28 12:43:18 | Les pirates militaires russes ciblent l'Ukraine avec de nouveaux logiciels malveillants Masepie Russian military hackers target Ukraine with new MASEPIE malware (lien direct) |
L'équipe d'intervention d'urgence informatique de l'Ukraine (CERT) prévient une nouvelle campagne de phishing qui a permis aux pirates de russe à déployer des logiciels malveillants invisibles auparavant sur un réseau en moins d'une heure.[...]
Ukraine\'s Computer Emergency Response Team (CERT) is warning of a new phishing campaign that allowed Russia-linked hackers to deploy previously unseen malware on a network in under one hour. [...] |
Threat Malware Tool | ★★★ | |
|
2023-12-28 11:26:00 | Un nouveau chargeur de logiciels malveillants rugmi des centaines de détections quotidiennes New Rugmi Malware Loader Surges with Hundreds of Daily Detections (lien direct) |
Un nouveau chargeur de logiciels malveillants est utilisé par les acteurs de la menace pour livrer une large gamme de & nbsp; Information Stealers & nbsp; tel que Lumma Stealer (aka Lummac2), Vidar, Recordbreaker (AKA Raccoon Stealer v2) et & nbsp; Rescoms.
La société de cybersécurité ESET suit le Trojan sous le nom et NBSP; Win / Trojandownloader.Rugmi.
"Ce malware est un chargeur avec trois types de composants: un téléchargeur qui télécharge un
A new malware loader is being used by threat actors to deliver a wide range of information stealers such as Lumma Stealer (aka LummaC2), Vidar, RecordBreaker (aka Raccoon Stealer V2), and Rescoms. Cybersecurity firm ESET is tracking the trojan under the name Win/TrojanDownloader.Rugmi. "This malware is a loader with three types of components: a downloader that downloads an |
Threat Malware | ★★ | |
|
2023-12-28 11:00:00 | Sauvegarde de votre expérience en ligne: un guide pour bloquer les publicités non sollicitées avec Adblockers Safeguarding your online experience: A guide to blocking unsolicited ads with adblockers (lien direct) |
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. The internet is a vast realm of information and entertainment. However, it\'s also riddled with a persistent nuisance: unsolicited ads. These intrusive advertisements not only disrupt your online experience but also pose significant security risks. In this comprehensive guide, we\'ll explore the intricate world of adblockers and their pivotal role in enhancing your cybersecurity by effectively blocking unsolicited ads. Understanding the ad landscape Before we delve into the realm of adblockers, it\'s essential to comprehend the complex ecosystem of online advertisements: Display ads: These are the most common ads you encounter on websites. They can be static images, animated banners, or even video ads. Pop-up ads: Pop-up ads appear in separate windows or tabs, often triggered when you visit a specific page or perform an action on a website. Video ads: These ads play within videos or before you can access certain content. They vary from short pre-roll ads to longer mid-roll ads. Social media ads: Popular social platforms often serve ads in your feed or as sponsored posts. Native ads: These advertisements seamlessly blend with the content around them, making them appear less intrusive. The intrusive nature of unsolicited ads Unsolicited ads, commonly referred to as "adware," are notorious for their disruptive and intrusive characteristics. They can: Slow down your web browsing experience by consuming bandwidth. Track your online behavior and collect personal information. Expose you to potentially malicious content and scams. Affect website aesthetics and distract from the content you want to view. The role of adblockers Adblockers are the digital shields that protect your online experience by eliminating or minimizing the impact of unsolicited ads. Let\'s explore three popular adblockers and their features: Adblock Plus (ABP): Adblock Plus is a widely used and highly customizable adblocker. It allows you to create your filters and tailor your ad-blocking preferences. uBlock Origin: uBlock Origin is a lightweight yet potent adblocker. It\'s known for its efficiency in blocking ads and its minimal impact on system resources. AdNauseam: AdNauseam is an intriguing adblocker that takes a unique approach. It not only blocks ads but also clicks on them, making it harder for advertisers to track your online behavior. Blocking unsolicited ads with Adblock Plus Adblock Plus is a robust and versatile adblocker that offers comprehensive ad-blocking capabilities. Here\'s how you can use it to block unsolicited ads: Install Adblock Plus: Visit the Adblock Plus website and download the extension for your preferred browser. It\'s available for Chrome, Firefox, Edge, and more. Install the Adblock Plus filter: Adblock Plus employs filters to block ads. Upon installation, it provides a default filter list to get you started. However, you can enhance your ad-blocking by adding additional filters, such as EasyList, which covers a wide range of ads. Customize your filters: Adblock Plus offers user-friendly settings for customizing your ad-blocking preferences. You can allow or block specific ads on individual websites, granting you fine control. Blocking unsolicited ads with uBlock Origin uBlock Origin is renowned for its efficiency and resource-friendliness. Here\'s how you can use it to block unsolicited ads: Install uBlock Origin: Visit the uBlock Origin website and download the extension for your browser. It\'s available for various browsers, including Chrome, Fir | Malware Tool | ★★ | |
 |
2023-12-28 00:00:00 | Microsoft Adresse les abus des installateurs de l'application Microsoft addresses App Installer abuse (lien direct) |
Résumé Au cours des derniers mois, Microsoft Threat Intelligence a observé que les acteurs de la menace tirent parti des techniques d'ingénierie sociale et de phishing pour cibler les utilisateurs de Windows OS et en utilisant le schéma URI MS-Appinstaller.Nous avons abordé et atténué cette activité malveillante en désactivant par défaut MS-Appinstaller.De plus, Microsoft a coordonné les autorités de certificat pour révoquer les certificats de signature de code abusés utilisés par des échantillons de logiciels malveillants que nous avons identifiés.
Summary In recent months, Microsoft Threat Intelligence has observed threat actors leveraging social engineering and phishing techniques to target Windows OS users and utilizing the ms-appinstaller URI scheme. We have addressed and mitigated this malicious activity by turning off ms-appinstaller by default. Additionally, Microsoft has coordinated with Certificate Authorities to revoke the abused code signing certificates utilized by malware samples we have identified. |
Threat Malware | ★ |
To see everything:
Our RSS (filtrered)
