SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-12-22 18:16:00	Documents Word Microsoft leurres utilisés pour livrer des logiciels malveillants basés sur NIM Decoy Microsoft Word Documents Used to Deliver Nim-Based Malware (lien direct)	Une nouvelle campagne de phishing tire parti des documents Microsoft Word de leurre en tant qu'appât pour livrer une porte dérobée écrite dans le langage de programmation & nbsp; NIM. "Les logiciels malveillants écrits dans des langages de programmation peu communs mettent la communauté de la sécurité dans un désavantage en tant que chercheurs et ingénieurs inverses \\ 'Un familiarité peut entraver leur enquête", les chercheurs de Netskope Ghanashyam Satpathy et Jan Michael Alcantara & NBSP A new phishing campaign is leveraging decoy Microsoft Word documents as bait to deliver a backdoor written in the Nim programming language. "Malware written in uncommon programming languages puts the security community at a disadvantage as researchers and reverse engineers\' unfamiliarity can hamper their investigation," Netskope researchers Ghanashyam Satpathy and Jan Michael Alcantara	Malware		★★
	2023-12-22 17:21:51	Les logiciels malveillants Android Chameleon peuvent contourner la sécurité biométrique Chameleon Android Malware Can Bypass Biometric Security (lien direct)	> Une variante de la banque Android Chameleon présente de nouvelles capacités de dérivation et a élargi sa zone de ciblage. >A variant of the Chameleon Android banking trojan features new bypass capabilities and has expanded its targeting area.	Malware Mobile		★★★
	2023-12-22 13:16:00	UAC-0099 Utilisation de Winrar Exploit pour cibler les entreprises ukrainiennes avec des logiciels malveillants de Lonepage UAC-0099 Using WinRAR Exploit to Target Ukrainian Firms with LONEPAGE Malware (lien direct)	L'acteur de menace connu sous le nom de & nbsp; UAC-0099 & nbsp; a été lié à des attaques continues visant l'Ukraine, dont certaines exploitent un défaut de haute sévérité dans le logiciel Winrar pour offrir une souche malveillante appelée Lonepage. "L'acteur de menace cible les employés ukrainiens travaillant pour des entreprises en dehors de l'Ukraine", a déclaré la société de cybersécurité Deep Instinct & NBSP; Said & NBSP; dans une analyse jeudi. UAC-0099 était & nbsp; premier The threat actor known as UAC-0099 has been linked to continued attacks aimed at Ukraine, some of which leverage a high-severity flaw in the WinRAR software to deliver a malware strain called LONEPAGE. "The threat actor targets Ukrainian employees working for companies outside of Ukraine," cybersecurity firm Deep Instinct said in a Thursday analysis. UAC-0099 was first	Malware Threat		★★★
	2023-12-22 09:30:00	Crypto Raindeur vole 59 millions de dollars via Google et X annonces Crypto Drainer Steals $59m Via Google and X Ads (lien direct)	Les chercheurs mettent en garde contre les nouvelles campagnes de phishing à l'aide de logiciels malveillants de Drainer Crypto pour voler la monnaie virtuelle Researchers are warning of new phishing campaigns using crypto drainer malware to steal virtual currency	Malware		★★
	2023-12-21 22:00:00	\\ 'Battleroyal \\' Les pirates offrent un rat Darkgate en utilisant chaque astuce \\'BattleRoyal\\' Hackers Deliver DarkGate RAT Using Every Trick (lien direct)	L'acteur de menace ténébreuse utilise quelques astuces astucieuses pour abandonner les logiciels malveillants populaires avec des cibles qui répondent à ses spécifications. The shadowy threat actor uses some nifty tricks to drop popular malware with targets that meet its specifications.	Malware Threat		★★★
	2023-12-21 21:51:00	Chameleon Android Banking Variant Variant contourne l'authentification biométrique Chameleon Android Banking Trojan Variant Bypasses Biometric Authentication (lien direct)	Les chercheurs en cybersécurité ont découvert une version mise à jour d'un logiciel malveillant bancaire Android appelé Chameleon qui a élargi son ciblage pour inclure les utilisateurs au Royaume-Uni et en Italie. "Représentant une itération restructurée et améliorée de son prédécesseur, cette variante de caméléon évoluée excelle dans l'exécution de la prise de contrôle des appareils (DTO) en utilisant le service d'accessibilité, tout en élargissant sa région ciblée, Cybersecurity researchers have discovered an updated version of an Android banking malware called Chameleon that has expanded its targeting to include users in the U.K. and Italy. "Representing a restructured and enhanced iteration of its predecessor, this evolved Chameleon variant excels in executing Device Takeover (DTO) using the accessibility service, all while expanding its targeted region,	Malware Mobile		★★★
	2023-12-21 21:09:57	Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct)	#### Description AHNLAB Security Emergency Response Center (ASEC) a signalé que la vulnérabilité d'Apache ActiveMQ (CVE-2023-46604) est exploitée par divers acteurs de menace.La vulnérabilité est une vulnérabilité d'exécution de code distant dans le serveur de modèle de messagerie et d'intégration open source apache activemq. L'attaque de vulnérabilité consiste à manipuler un type de classe sérialisé dans le protocole OpenWire pour instancier la classe dans le chemin de classe.Lorsque l'acteur de menace transmet un paquet manipulé, le serveur vulnérable fait référence au chemin (URL) contenu dans le paquet pour charger le fichier de configuration XML pour la classe.Les logiciels malveillants utilisés dans les attaques comprennent Ladon, Netcat, AnyDesk et Z0min.Ladon est l'un des outils principalement utilisés par les acteurs de la menace chinoise.NetCAT est un utilitaire pour transmettre des données à et depuis certaines cibles dans un réseau connecté par le protocole TCP / UDP.AnyDesk, Netsupport et Chrome Remote Desktop ont récemment été utilisés pour contourner les produits de sécurité.Z0miner a été signalé pour la première fois en 2020 par l'équipe de sécurité de Tencent et a été distribué via des attaques exploitant les vulnérabilités d'exécution du code distant Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883). #### URL de référence (s) 1. https://asec.ahnlab.com/en/59904/ #### Date de publication 18 décembre 2023 #### Auteurs) Sanseo #### Description AhnLab Security Emergency Response Center (ASEC) has reported that the Apache ActiveMQ vulnerability (CVE-2023-46604) is being exploited by various threat actors. The vulnerability is a remote code execution vulnerability in the open-source messaging and integration pattern server Apache ActiveMQ. The vulnerability attack involves manipulating a serialized class type in the OpenWire protocol to instantiate the class in classpath. When the threat actor transmits a manipulated packet, the vulnerable server references the path (URL) contained in the packet to load the XML configuration file for the class. The malware used in the attacks includes Ladon, NetCat, AnyDesk, and z0Miner. Ladon is one of the tools that are mainly used by Chinese-speaking threat actors. Netcat is a utility for transmitting data to and from certain targets in a network connected by TCP/UDP protocol. AnyDesk, NetSupport, and Chrome Remote Desktop have recently been used for bypassing security products. z0Miner was first reported in 2020 by the Tencent Security Team and was distributed via attacks exploiting the Oracle Weblogic remote code execution vulnerabilities (CVE-2020-14882/CVE-2020-14883). #### Reference URL(s) 1. https://asec.ahnlab.com/en/59904/ #### Publication Date December 18, 2023 #### Author(s) Sanseo	Malware Tool Vulnerability Threat		★★★
	2023-12-21 20:49:26	Pikabot distribué via des annonces de recherche malveillante PikaBot Distributed via Malicious Search Ads (lien direct)	#### Description Pikabot était auparavant distribué via des campagnes de Malspam et est devenu l'une des charges utiles préférées d'un acteur de menace connu sous le nom de TA577.La campagne cible Google recherche l'application distante AnyDesk.Les acteurs de la menace contournent les vérifications de sécurité de Google \\ avec une URL de suivi via une plate-forme marketing légitime pour rediriger vers leur domaine personnalisé derrière CloudFlare.À ce stade, seules les adresses IP propres sont transmises à l'étape suivante.Ils effectuent des empreintes digitales via JavaScript pour déterminer, entre autres, si l'utilisateur exécute une machine virtuelle.Ce n'est qu'après le chèque qui réussit que nous voyons une redirection vers la page de destination principale (site de leurre AnyDesk).Le malware est distribué via un installateur MSI signé numériquement.Cependant, l'aspect le plus intéressant est de savoir comment il échappe à la détection lors de l'exécution.Le module de base du malware \\ est ensuite injecté dans le processus SearchProtoColhost.exe légitime.Le chargeur de Pikabot \\ cache également son injection en utilisant des systèmes de système indirects, ce qui rend le malware très furtif. #### URL de référence (s) 1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/pikabot-stribed-via-malicious-ads #### Date de publication 15 décembre 2023 #### Auteurs) #### Description PikaBot was previously distributed via malspam campaigns and emerged as one of the preferred payloads for a threat actor known as TA577. The campaign targets Google searches for the remote application AnyDesk. The threat actors are bypassing Google\'s security checks with a tracking URL via a legitimate marketing platform to redirect to their custom domain behind Cloudflare. At this point, only clean IP addresses are forwarded to the next step. They perform fingerprinting via JavaScript to determine, among other things, if the user is running a virtual machine. Only after the check is successful do we see a redirect to the main landing page (decoy AnyDesk site). The malware is distributed via a digitally signed MSI installer. However, the more interesting aspect is how it evades detection upon execution. The malware\'s core module is then injected into the legitimate SearchProtocolHost.exe process. PikaBot\'s loader also hides its injection by using indirect syscalls, making the malware very stealthy. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads #### Publication Date December 15, 2023 #### Author(s)	Malware Threat		★★
	2023-12-21 18:08:00	Le nouveau logiciel malveillant JavaScript a ciblé plus de 50 000 utilisateurs dans des dizaines de banques dans le monde New JavaScript Malware Targeted 50,000+ Users at Dozens of Banks Worldwide (lien direct)	Un nouveau morceau de logiciel malveillant JavaScript a été observé pour tenter de voler des références de compte bancaire en ligne dans le cadre d'une campagne qui a ciblé plus de 40 institutions financières à travers le monde. Le cluster d'activités, qui utilise des injections Web JavaScript, aurait conduit à au moins 50 000 sessions utilisateur infectées couvrant l'Amérique du Nord, l'Amérique du Sud, l'Europe et le Japon. A new piece of JavaScript malware has been observed attempting to steal users\' online banking account credentials as part of a campaign that has targeted more than 40 financial institutions across the world. The activity cluster, which employs JavaScript web injections, is estimated to have led to at least 50,000 infected user sessions spanning North America, South America, Europe, and Japan.	Malware		★★
	2023-12-21 16:20:00	Chameleon Android Trojan offre un pontage biométrique Chameleon Android Trojan Offers Biometric Bypass (lien direct)	Une version plus sophistiquée d'un malware "Work in Progress" est d'identiter une application Google Chrome pour attaquer une bande plus large d'utilisateurs mobiles. A more sophisticated version of a "work in progress" malware is impersonating a Google Chrome app to attack a wider swath of mobile users.	Malware Mobile		★★
	2023-12-21 15:33:00	Les autorités allemandes démantèlent un sombre hub sombre \\ 'Kingdom Market \\' dans l'opération mondiale German Authorities Dismantle Dark Web Hub \\'Kingdom Market\\' in Global Operation (lien direct)	Les forces de l'ordre allemandes ont annoncé la perturbation d'une plate-forme Web sombre appelée & nbsp; Kingdom Market & nbsp; qui se spécialise dans les ventes de stupéfiants et de logiciels malveillants à "dizaines de milliers d'utilisateurs". Le & nbsp; l'exercice, qui a impliqué la collaboration des autorités des États-Unis, de la Suisse, de la Moldavie et de l'Ukraine, a commencé le 16 décembre 2023, a déclaré le bureau fédéral de la police criminelle (BKA). Royaume German law enforcement has announced the disruption of a dark web platform called Kingdom Market that specialized in the sales of narcotics and malware to "tens of thousands of users." The exercise, which involved collaboration from authorities from the U.S., Switzerland, Moldova, and Ukraine, began on December 16, 2023, the Federal Criminal Police Office (BKA) said. Kingdom	Malware Legislation		★★
	2023-12-21 15:28:06	Microsoft: les pirates ciblent les entreprises de défense avec de nouveaux logiciels malveillants Falsefont Microsoft: Hackers target defense firms with new FalseFont malware (lien direct)	Microsoft affirme que le groupe de cyber-espionnage iranien de l'APT33 utilise des logiciels malveillants de porte dérobée de Falsefont récemment découverts pour attaquer les entrepreneurs de défense dans le monde entier.[...] Microsoft says the APT33 Iranian cyber-espionage group is using recently discovered FalseFont backdoor malware to attack defense contractors worldwide. [...]	Malware	APT33 APT 33	★★★
	2023-12-21 12:52:00	Les pirates exploitent la vulnérabilité Old MS Excel à la propagation de l'agent Tesla malware Hackers Exploiting Old MS Excel Vulnerability to Spread Agent Tesla Malware (lien direct)	Les attaquants armement une vieille vulnérabilité de Microsoft Office dans le cadre de campagnes de phishing pour distribuer une souche de logiciels malveillants appelés & nbsp; agent Tesla. Les chaînes d'infection levaient les documents de leurre de lereau Excel attaché dans les messages sur le thème de la facture pour tromper des cibles potentielles pour les ouvrir et activer l'exploitation du CVE-2017-11882 (score CVSS: 7.8), une vulnérabilité de corruption de mémoire dans Office \'s Attackers are weaponizing an old Microsoft Office vulnerability as part of phishing campaigns to distribute a strain of malware called Agent Tesla. The infection chains leverage decoy Excel documents attached in invoice-themed messages to trick potential targets into opening them and activate the exploitation of CVE-2017-11882 (CVSS score: 7.8), a memory corruption vulnerability in Office\'s	Malware Vulnerability		★★
	2023-12-21 12:36:24	8220 gang cible les télécommunications et les soins de santé dans l'attaque mondiale du cryptojacking 8220 Gang Targets Telecom and Healthcare in Global Cryptojacking Attack (lien direct)	> Par deeba ahmed Le gang 8220, censé être d'origine chinoise, a été identifié pour la première fois en 2017 par Cisco Talos lorsqu'ils ont ciblé les applications Drupal, Hadoop Yarn et Apache Struts2 pour la propagation du malware crypto-jacking. Ceci est un article de HackRead.com Lire le post original: 8220 gang cible les télécommunications et les soins de santé dans l'attaque mondiale du cryptojacking >By Deeba Ahmed The 8220 gang, believed to be of Chinese origins, was first identified in 2017 by Cisco Talos when they targeted Drupal, Hadoop YARN, and Apache Struts2 applications for propagating cryptojacking malware. This is a post from HackRead.com Read the original post: 8220 Gang Targets Telecom and Healthcare in Global Cryptojacking Attack	Malware		★★
	2023-12-21 05:00:25	Battleroyal, le cluster Darkgate se propage par e-mail et les fausses mises à jour du navigateur BattleRoyal, DarkGate Cluster Spreads via Email and Fake Browser Updates (lien direct)	Overview Throughout the summer and fall of 2023, DarkGate entered the ring competing for the top spot in the remote access trojan (RAT) and loader category. It was observed in use by multiple cybercrime actors and was spread via many methods such as email, Microsoft Teams, Skype, malvertising and fake updates. Proofpoint researchers are tracking a particularly interesting operator of the DarkGate malware. At the time of publication, researchers are not attributing this cluster of activity to a known threat actor and are temporarily calling it BattleRoyal. Between September and November 2023, at least 20 email campaigns used DarkGate malware with GroupIDs “PLEX”, “ADS5”, “user_871236672” and “usr_871663321”. The GroupID is a configuration setting that is also referred to as username, botnet, campaign, or flag 23. The campaigns are notable for: Delivery: via email and RogueRaticate fake browser updates Volumes and geography: email campaigns include tens of thousands of emails targeting dozens of industries primarily in USA and Canada Attack chain: includes a variety of notable tools such as 404 TDS, Keitaro TDS, and .URL files exploiting CVE-2023-36025 Volume of DarkGate campaigns based on four GroupIDs discussed in this report. TDS all the things! (an email campaign example) On October 2, 2023, Proofpoint identified one of the first campaigns in this cluster. It was notable due to the use of more than one traffic delivery system (TDS), specifically 404 TDS and Keitaro TDS. Additionally, the .URL files involved exploited CVE-2023-36025, a vulnerability in Windows SmartScreen. While other parts of the attack chain from this actor changed or varied, .URL files were involved in every campaign. The emails in this campaign contained: 404 TDS URLs that, if clicked by the user, redirected to Keitaro TDS Keitaro TDS was observed serving an internet shortcut (.URL) file The internet shortcut, if double clicked, downloaded a zipped VBS script The VBS in turn downloaded and executed several shell commands (cmd.exe) The shell commands (a) created a directory on C: drive, (b) copied curl.exe from system folder to this new directory, (c) used the curl to download Autoit3.exe, (d) used curl to download and save an AutoIT script, and (e) ran the downloaded AutoIT script with the downloaded AutoIT interpreter The AutoIT script ran an embedded DarkGate Attack chain summary that follows the flow of: Email > 404 TDS > Keitaro TDS > .URL > .VBS > Shell commands > AutoIT / AutoIT script > DarkGate. Screenshot of an example email from October 2 campaign. Screenshot of the .URL file involved in the October 2 campaign. Proofpoint has identified multiple cybercriminal campaigns exploiting CVE-2023-36025; however, the BattleRoyal cluster exploited this vulnerability more than any other actor observed in Proofpoint threat data. Notably, this activity cluster exploited CVE-2023-36025 before it was published by Microsoft. SmartScreen is a security feature that is designed to prevent people from visiting malicious websites. The vulnerability could allow an actor to bypass the SmartScreen defenses if a user clicked on a specially crafted .URL file or a hyperlink pointing to a .URL file. More specifically, a SmartScreen alert would not be triggered when a .URL points to a SMB or WebDav share as file:// and the malicious payload is inside a ZIP file which is specified in the URL target. RogueRaticate (fake browser update campaign example) On October 19, 2023, an external researcher identified and publicly shared details of the RogueRaticate fake update activity cluster using an interesting obfuscation technique first identified in 2020. Proofpoint subsequently identified the activity in Proofpoint data. This campaign delivered fake browser update requests to end users on their web browsers that dropped a DarkGate payload with the “ADS5” GroupID. The threat actor injected a request to a domain they controlled that used .css steganography to conceal the malicious c	Malware Tool Vulnerability Threat Prediction		★★
	2023-12-21 05:00:00	Android Malware Cameleon désactive le déverrouillage des empreintes digitales pour voler des épingles Android malware Chameleon disables Fingerprint Unlock to steal PINs (lien direct)	Le cheval de Troie bancaire Android Chameleon a réapparu avec une nouvelle version qui utilise une technique délicate pour prendre les appareils - désactiver les empreintes digitales et le déverrouillage du visage pour voler des épingles d'appareils.[...] The Chameleon Android banking trojan has re-emerged with a new version that uses a tricky technique to take over devices - disable fingerprint and face unlock to steal device PINs. [...]	Malware Mobile		★★
	2023-12-20 23:45:34	Quelque chose de méchant injecté JavaScript de vol de connexion en sessions bancaires en ligne 50k Something nasty injected login-stealing JavaScript into 50K online banking sessions (lien direct)	Pourquoi garder votre PC sécurisé et exempt de logiciels malveillants reste primordial IBM Security a disséqué un code JavaScript qui a été injecté dans les pages bancaires en ligne de People \\ pour voler leurs informations d'identification de connexion, affirmant 50 000 sessions d'utilisateurAvec plus de 40 banques dans le monde ont été compromises par le logiciel malveillant en 2023.…	Malware		★★
	2023-12-20 18:12:00	La police allemande démarre le Kingdom Market, un Emporium DarkNet de produits illicites German police take down Kingdom Market, a darknet emporium of illicit goods (lien direct)	Les forces de l'ordre allemandes ont saisi les serveurs du marché du royaume du marché Darknet, un bazar pour la drogue, les logiciels malveillants, les faux documents et d'autres outils pour les cybercriminels.Dans un Relexe de presse Mercredi, la police a déclaré un avis de tubas sur le pointle site Web et analysent désormais l'infrastructure du serveur de Kingdom Market \\ pour identifier les personnes derrière German law enforcement has seized the servers of the darknet marketplace Kingdom Market, a bazaar for drugs, malware, fake documents and other tools for cybercriminals. In a press release on Wednesday, the police said they posted a takedown notice on the website and are now analyzing Kingdom Market\'s server infrastructure to identify the people behind	Malware Tool Legislation		★★★
	2023-12-20 17:25:00	Iranien \\ 'verworm \\' cyber spies ciblent les télécommunications africaines et les FAI Iranian \\'Seedworm\\' Cyber Spies Target African Telcos & ISPs (lien direct)	Seedworm, alias Muddywater, dépose des logiciels malveillants basés sur PowerShell sur les victimes utilisant des techniques de vie. Seedworm, aka MuddyWater, drops PowerShell-based malware on victims using living-off-the-land techniques.	Malware		★★
	2023-12-20 17:00:00	L'industrie hôtelière est confrontée à de nouveaux logiciels malveillants de vol de mot de passe Hospitality Industry Faces New Password-Stealing Malware (lien direct)	Les chercheurs de Sophos ont déclaré que les attaquants \\ 'Tactiques d'ingénierie sociale couvraient une gamme de scénarios d'invités Sophos researchers said that the attackers\' social engineering tactics covered a range of guest scenarios	Malware		★★
	2023-12-20 16:31:43	New Jaskago Malware cible Mac et Windows pour la crypto, données du navigateur New JaskaGO Malware Targets Mac and Windows for Crypto, Browser Data (lien direct)	> Par waqas Un autre jour, une autre plate-forme multiplateuse frappe les utilisateurs sans méfiance! Ceci est un article de HackRead.com Lire la publication originale: New Jaskago Malware cible Mac et Windows pour crypto, données du navigateur >By Waqas Another day, another cross-platform hits unsuspecting users! This is a post from HackRead.com Read the original post: New JaskaGO Malware Targets Mac and Windows for Crypto, Browser Data	Malware		★★
	2023-12-20 15:00:00	Un aperçu de la campagne basée à NIM à l'aide de documents Microsoft Word pour imiter le gouvernement népalais A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government (lien direct)	> Les acteurs de menace sommaire utilisent souvent des techniques d'attaque furtives pour échapper à la détection et rester dans le cadre du radar du défenseur.Une façon de le faire consiste à utiliser des langages de programmation peu communs pour développer des logiciels malveillants.L'utilisation d'un langage de programmation inhabituel pour développer des logiciels malveillants offre plusieurs avantages, notamment: l'évasion de certaines détections basées sur la signature entravant l'analyse par des analystes de logiciels malveillants qui sont [& # 8230;] >Summary Threat actors often employ stealthy attack techniques to elude detection and stay under the defender\'s radar. One way they do so is by using uncommon programming languages to develop malware. Using an uncommon programming language to develop malware provides several benefits, including: Evading some signature based detections Impeding analysis by malware analysts that are […]	Malware Threat		★★
	2023-12-20 13:40:00	Nouveaux logiciels malveillants Jaskago ciblant les systèmes Windows et MacOS New Go-Based JaskaGO Malware Targeting Windows and macOS Systems (lien direct)	Un nouveau voleur d'informations basé sur le GO MALWWare appelé & nbsp; jaskago & nbsp; est devenu la dernière menace multiplateforme pour infiltrer les systèmes Windows et Apple MacOS. AT & amp; t Alien Labs, qui a fait la découverte, & nbsp; dit & nbsp; le malware est "équipé d'un éventail complet de commandes de son serveur de commande et de contrôle (c & amp; c)". Des artefacts conçus pour les macOS ont été observés pour la première fois en juillet A new Go-based information stealer malware called JaskaGO has emerged as the latest cross-platform threat to infiltrate both Windows and Apple macOS systems. AT&T Alien Labs, which made the discovery, said the malware is "equipped with an extensive array of commands from its command-and-control (C&C) server." Artifacts designed for macOS were first observed in July	Malware Threat		★★
	2023-12-19 23:05:00	Les observations de Qakbot fraîches confirment que le retrait récent a été un revers temporaire Fresh Qakbot Sightings Confirm Recent Takedown Was a Temporary Setback (lien direct)	Microsoft et plusieurs autres ont rapporté de voir à nouveau les logiciels malveillants nocifs dans une campagne ciblant l'industrie hôtelière. Microsoft and several others have reported seeing the noxious malware surfacing again in a campaign targeting the hospitality industry.	Malware		★★
	2023-12-19 21:22:00	Le FBI élimine les ransomwares BlackCat, publie un outil de décryptage gratuit FBI Takes Down BlackCat Ransomware, Releases Free Decryption Tool (lien direct)	Le ministère américain de la Justice (DOJ) a officiellement & NBSP; annoncé & NBSP; la perturbation de l'opération de ransomware BlackCat et a publié un outil de décryptage que les victimes peuvent utiliser pour regagner l'accès aux fichiers verrouillés par le malware. Des documents judiciaires montrent que le Federal Bureau of Investigation (FBI) des États-Unis a fait appel à une source humaine confidentielle (CHS) pour agir en tant qu'affilié pour le BlackCat et Gain The U.S. Justice Department (DoJ) has officially announced the disruption of the BlackCat ransomware operation and released a decryption tool that victims can use to regain access to files locked by the malware. Court documents show that the U.S. Federal Bureau of Investigation (FBI) enlisted the help of a confidential human source (CHS) to act as an affiliate for the BlackCat and gain	Ransomware Malware Tool		★★★
	2023-12-19 19:00:00	Les pirates abusant de Github pour échapper à la détection et au contrôle des hôtes compromis Hackers Abusing GitHub to Evade Detection and Control Compromised Hosts (lien direct)	Les acteurs de la menace utilisent de plus en plus Github à des fins malveillantes grâce à de nouvelles méthodes, notamment abuser des GIST secrètes et émettre des commandes malveillantes via des messages Git Commit. "Les auteurs de logiciels malveillants placent occasionnellement leurs échantillons dans des services tels que Dropbox, Google Drive, OneDrive et Discord pour accueillir des logiciels malveillants de deuxième étape et des outils de détection de touche", inverse le chercheur Karlo Zanki & NBSP Threat actors are increasingly making use of GitHub for malicious purposes through novel methods, including abusing secret Gists and issuing malicious commands via git commit messages. "Malware authors occasionally place their samples in services like Dropbox, Google Drive, OneDrive, and Discord to host second stage malware and sidestep detection tools," ReversingLabs researcher Karlo Zanki	Malware Tool Threat		★★★
	2023-12-19 18:29:45	Global Malspam cible les hôtels, étalant les voleurs Redline et Vidar Global malspam targets hotels, spreading Redline and Vidar stealers (lien direct)	> Par deeba ahmed Fausses plaintes, Vraie malware - Sophos avertit les hôtels d'attaque mondiale de Malspam! Ceci est un article de HackRead.com Lire la publication originale: Global Malspam cible les hôtels, répartissant les voleurs rouges et vidar >By Deeba Ahmed Fake Complaints, Real Malware - Sophos Warns Hotels of Global Malspam Attack! This is a post from HackRead.com Read the original post: Global malspam targets hotels, spreading Redline and Vidar stealers	Malware		★★★
	2023-12-19 16:32:00	Nouvelle campagne de malvertising distribuant Pikabot déguisé en logiciel populaire New Malvertising Campaign Distributing PikaBot Disguised as Popular Software (lien direct)	Le chargeur malveillant connu sous le nom de Pikabot est distribué dans le cadre de A & NBSP; Malvertising & nbsp; Campaign & NBSP; ciblant les utilisateurs à la recherche de logiciels légitimes comme AnyDesk. "Pikabot n'était auparavant distribué que via des campagnes de Malspam de manière similaire à Qakbot et est apparue comme l'une des charges utiles préférées pour un acteur de menace connu sous le nom de TA577", a déclaré malwarebytes \\ 'j & eacute; r & ocirc; me Segura & nbsp; La famille des logiciels malveillants, The malware loader known as PikaBot is being distributed as part of a malvertising campaign targeting users searching for legitimate software like AnyDesk. "PikaBot was previously only distributed via malspam campaigns similarly to QakBot and emerged as one of the preferred payloads for a threat actor known as TA577," Malwarebytes\' Jérôme Segura said. The malware family,	Malware Threat		★★
	2023-12-19 15:36:07	Nouvelle campagne d'injections Web vole les données bancaires de 50 000 personnes New Web injections campaign steals banking data from 50,000 people (lien direct)	Une nouvelle campagne de logiciels malveillants qui a émergé en mars 2023 a utilisé des injections Web JavaScript pour tenter de voler les données bancaires de plus de 50 000 utilisateurs de 40 banques en Amérique du Nord, en Amérique du Sud, en Europe et au Japon.[...] A new malware campaign that emerged in March 2023 used JavaScript web injections to try to steal the banking data of over 50,000 users of 40 banks in North America, South America, Europe, and Japan. [...]	Malware		★★
	2023-12-19 14:00:00	Les injections sur le Web sont de retour en augmentation: 40+ banques affectées par une nouvelle campagne de logiciels malveillants Web injections are back on the rise: 40+ banks affected by new malware campaign (lien direct)	> Les injections Web, une technique privilégiée utilisée par divers chevaux de Troie bancaire, ont été une menace persistante dans le domaine des cyberattaques.Ces injections malveillantes permettent aux cybercriminels de manipuler les échanges de données entre les utilisateurs et les navigateurs Web, compromettant potentiellement des informations sensibles.En mars 2023, des chercheurs en sécurité chez IBM Security Trudieer ont découvert une nouvelle campagne de logiciels malveillants en utilisant JavaScript [& # 8230;] >Web injections, a favored technique employed by various banking trojans, have been a persistent threat in the realm of cyberattacks. These malicious injections enable cyber criminals to manipulate data exchanges between users and web browsers, potentially compromising sensitive information. In March 2023, security researchers at IBM Security Trusteer uncovered a new malware campaign using JavaScript […]	Malware Threat		★★
	2023-12-19 12:28:00	8220 gang exploitant Oracle Weblogic Server Vulnérabilité à la propagation de logiciels malveillants 8220 Gang Exploiting Oracle WebLogic Server Vulnerability to Spread Malware (lien direct)	Les acteurs de menace associés à la & nbsp; 8220 gang & nbsp; ont été observés exploitant un défaut de haute sévérité dans le serveur Oracle Weblogic pour propager leurs logiciels malveillants. La lacune de sécurité est & nbsp; CVE-2020-14883 & nbsp; (Score CVSS: 7.2), un bug d'exécution de code distant qui pourrait être exploité par des attaquants authentifiés pour prendre les serveurs sensibles. "Cette vulnérabilité permet à la distance authentifiée The threat actors associated with the 8220 Gang have been observed exploiting a high-severity flaw in Oracle WebLogic Server to propagate their malware. The security shortcoming is CVE-2020-14883 (CVSS score: 7.2), a remote code execution bug that could be exploited by authenticated attackers to take over susceptible servers. "This vulnerability allows remote authenticated	Malware Vulnerability Threat		★★
	2023-12-19 09:26:08	Backbot de Qakbot \\: le démontage dirigé par le FBI garde les Crims à distance pendant seulement 3 mois Qakbot\\'s backbot: FBI-led takedown keeps crims at bay for just 3 months (lien direct)	Les experts disent que la tension des logiciels malveillants fait des années à mourir complètement Les sources multiples confirment la résurgence du malware de Qakbot quelques mois après le FBI et d'autres organismes d'application de la loi ont fermé le botnet Windows.… Experts say malware strain make take years to die off completely Multiple sources are confirming the resurgence of Qakbot malware mere months after the FBI and other law enforcement agencies shuttered the Windows botnet.…	Malware		★★
	2023-12-19 01:22:36	La vulnérabilité Apache ActiveMQ (CVE-2023-46604) étant en permanence exploitée dans les attaques Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct)	En novembre 2023, Ahnlab Security Emergency Response Center (ASEC) a publié un article de blog intitulé & # 8220;Circonstances du groupe Andariel exploitant une vulnérabilité Apache ActiveMQ (CVE-2023-46604) & # 8221;[1] qui a couvert les cas du groupe de menaces Andariel exploitant la vulnérabilité CVE-2023-46604 pour installer des logiciels malveillants.Ce message a non seulement couvert les cas d'attaque du groupe Andariel, mais aussi ceux de Hellokitty Ransomware, de Cobalt Strike et Metasploit Meterpreter.Depuis lors, la vulnérabilité Apache ActiveMQ (CVE-2023-46604) a continué à être exploitée par divers acteurs de menace.Ce ... In November 2023, AhnLab Security Emergency response Center (ASEC) published a blog post titled “Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)” [1] which covered cases of the Andariel threat group exploiting the CVE-2023-46604 vulnerability to install malware. This post not only covered attack cases of the Andariel group but also those of HelloKitty Ransomware, Cobalt Strike, and Metasploit Meterpreter. Since then, the Apache ActiveMQ vulnerability (CVE-2023-46604) has continued to be exploited by various threat actors. This...	Ransomware Malware Vulnerability Threat		★★★
	2023-12-19 00:52:09	Banners de copyright & # 8211;révisé Copyright banners – re-visited (lien direct)	Il y a plus d'une décennie, j'ai publié des statistiques aléatoires de bannières de copyright de mon référentiel malware (relativement petit par aujourd'hui.J'ai vraiment aimé ces statistiques à l'époque et je les aime toujours aujourd'hui.Pourquoi?Ces bannières sont excellentes & # 8216; basse suspension & # 8230; Continuer la lecture & # 8594; Over a decade ago I posted some random copyright banner stats from my (relatively small by today’s standards) malware repo. I really liked these stats back then and I still like them today. Why? These banners are great ‘low hanging … Continue reading →	Malware		★★★
	2023-12-18 22:51:00	Dans les coulisses: la frappe coordonnée de Jaskago \\ sur macOS et Windows Behind the Scenes: JaskaGO\\'s Coordinated Strike on macOS and Windows (lien direct)	Executive summary In recent developments, a sophisticated malware stealer strain crafted in the Go programming language has been discovered by AT&T Alien Labs, posing a severe threat to both Windows and macOS operating systems. As of the time of publishing of this article, traditional antivirus solutions have low or even non-existent detection rates, making it a stealthy and formidable adversary. Key takeaways: The malware is equipped with an extensive array of commands from its Command and Control (C&C) server. JaskaGO can persist in different methods in infected system. Users face a heightened risk of data compromise as the malware excels at exfiltrating valuable information, ranging from browser credentials to cryptocurrency wallet details and other sensitive user files. Background JaskaGO contributes to a growing trend in malware development leveraging the Go programming language. Go, also known as Golang, is recognized for its simplicity, efficiency, and cross-platform capabilities. Its ease of use has made it an attractive choice for malware authors seeking to create versatile and sophisticated threats. While macOS is often perceived as a secure operating system, there exists a prevalent misconception among users that it is impervious to malware. Historically, this misbelief has stemmed from the relative scarcity of macOS-targeted threats compared to other platforms. However, JaskaGO serves as a stark reminder that both Windows and macOS users are constantly at risk of malware attacks. As the malware use of file names resembling well-known applications (such as “Capcut_Installer_Intel_M1.dmg”, “Anyconnect.exe”) suggest a common strategy of malware deployment under the guise of legitimate software in pirated application web pages. The first JaskaGo sample was observed in July 2023, initially targeting Mac users. Following this opening assault, dozens of new samples have been identified as the threat evolved its capabilities and developed in both macOS and to Windows versions; its low detection rate is evident by its recent sample by anti-virus engines. (Figure 1) . Figure 1. As captured by Alien Labs: Anti-virus detection for recent JaskaGO samples within VirusTotal. Analysis Upon initial execution, the malware cunningly presents a deceptive message box, displaying a fake error message, claiming a missing file. This is strategically designed to mislead the user into believing that the malicious code failed to run. (Figure 2) Figure 2. As captured by Alien Labs: Fake error message. Anti-VM The malware conducts thorough checks to determine if it is operating within a virtual machine (VM). This process begins with the examination of general machine information, where specific criteria such as the number of processors, system up-time, available system memory, and MAC addresses are checked. The presence of MAC addresses associated with well-known VM software, such as VMware or VirtualBox, is a key indicator. (Figure 3) Figure 3. As captured by Alien Labs: Looking for VM related MAC addresses. Additionally, the malware\'s Windows version searches for VM-related traces in both the registry and the file system. (Figure 4)	Malware Vulnerability Threat Prediction Technical		★★★
	2023-12-18 21:38:02	Rhadamanthys V0.5.0 - une plongée profonde dans les composants du voleur \\ Rhadamanthys v0.5.0 - a Deep Dive into the Stealer\\'s Components (lien direct)	#### Description Le voleur de Rhadamanthys est un logiciel malveillant multicouche, vendu sur le marché noir et fréquemment mis à jour.Récemment, l'auteur a publié une nouvelle version majeure, 0.5.0. La version 0.5.0 actuellement analysée prend en charge plusieurs langages de script, de Lua (dont l'interprète est intégré au module principal) à PowerShell et à d'autres langages de script, qui sont pris en charge via un module supplémentaire.Cette version introduit des capacités élargies et des fonctionnalités d'espionnage, ainsi qu'un nouveau système de plugin pour la personnalisation. Il est évident qu'avec le rythme rapide et le développement continu, Rhadamanthys s'efforce de devenir un grand acteur sur le marché des logiciels malveillants et est très probablement ici pour rester. #### URL de référence (s) 1. https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-staders-components/ #### Date de publication 14 décembre 2023 #### Auteurs) Recherche de point de contrôle #### Description The Rhadamanthys stealer is a multi-layer malware, sold on the black market, and frequently updated. Recently the author released a new major version, 0.5.0. The currently analyzed version 0.5.0 supports multiple scripting languages, from LUA (whose interpreter is built-in to the main module) to PowerShell and other scripting languages, that are supported via an additional module. This version introduces expanded capabilities and spy functionalities, along with a new plugin system for customization. It is evident that with the fast pace and ongoing development, Rhadamanthys is trying hard to become a big player on the malware market and is most likely here to stay. #### Reference URL(s) 1. https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components/ #### Publication Date December 14, 2023 #### Author(s) Check Point Research	Malware		★★★
	2023-12-18 20:01:00	Rhadamanthys Malware: couteau suisse au couteau d'information des voleurs émerge Rhadamanthys Malware: Swiss Army Knife of Information Stealers Emerges (lien direct)	Les développeurs du voleur d'informations malveillants connu sous le nom de & nbsp; rhadamanthys & nbsp; itèrent activement sur ses fonctionnalités, élargissant ses capacités de collecte d'informations et incorporant également un système de plugin pour le rendre plus personnalisable. Cette approche le transforme non seulement en une menace capable de répondre aux "besoins spécifiques du distributeur", mais le rend également plus puissant, Check Point & nbsp; Said & The developers of the information stealer malware known as Rhadamanthys are actively iterating on its features, broadening its information-gathering capabilities and also incorporating a plugin system to make it more customizable. This approach not only transforms it into a threat capable of delivering "specific distributor needs," but also makes it more potent, Check Point said&	Malware Threat		★★
	2023-12-18 16:56:48	Les logiciels malveillants uniques utilisés dans les cyberattaques augmentent de 70% en seulement un quart Unique Malware Used in Cyber Attacks Increases by 70% in Just One Quarter (lien direct)		Malware		★★
	2023-12-18 14:59:00	Qakbot Malware revintafaces avec de nouvelles tactiques, ciblant l'industrie hôtelière QakBot Malware Resurfaces with New Tactics, Targeting the Hospitality Industry (lien direct)	Une nouvelle vague de messages de phishing distribuant le & nbsp; qakbot & nbsp; des logiciels malveillants ont été observés, plus de trois mois après qu'un effort d'application de la loi a vu son infrastructure démantelée en infiltrant son réseau de commandement et de contrôle (C2). Microsoft, qui a fait la découverte, l'a décrit comme une campagne à faible volume qui a commencé le 11 décembre 2023 et a ciblé l'industrie hôtelière. "Cibles A new wave of phishing messages distributing the QakBot malware has been observed, more than three months after a law enforcement effort saw its infrastructure dismantled by infiltrating its command-and-control (C2) network. Microsoft, which made the discovery, described it as a low-volume campaign that began on December 11, 2023, and targeted the hospitality industry. "Targets	Malware		★★
	2023-12-17 12:12:06	Les logiciels malveillants du voleur de Rhadamanthys évoluent avec des fonctionnalités plus puissantes Rhadamanthys Stealer malware evolves with more powerful features (lien direct)	Les développeurs des logiciels malveillants de volée de Rhadamanthys ont récemment publié deux versions principales pour ajouter des améliorations et des améliorations à tous les niveaux, y compris de nouvelles capacités de vol et une évasion améliorée.[...] The developers of the Rhadamanthys information-stealing malware have recently released two major versions to add improvements and enhancements across the board, including new stealing capabilities and enhanced evasion. [...]	Malware		★★★
	2023-12-17 10:09:18	QBOT Malware revient dans la campagne ciblant l'industrie hôtelière Qbot malware returns in campaign targeting hospitality industry (lien direct)	Le logiciel malveillant Qakbot est à nouveau distribué dans des campagnes de phishing après que le botnet a été perturbé par les forces de l'ordre au cours de l'été.[...] The QakBot malware is once again being distributed in phishing campaigns after the botnet was disrupted by law enforcement over the summer. [...]	Malware		★★
	2023-12-16 16:40:21	Nouveau \\ 'nkabuse \\' Linux malware utilise la technologie blockchain pour se propager New \\'NKAbuse\\' Linux Malware Uses Blockchain Technology to Spread (lien direct)	par deeba ahmed Le malware, surnommé Nkabuse, utilise un nouveau type de technologie de réseau (NKN), un protocole de réseau pair-to-peer alimenté par la blockchain pour répandre son infection. Ceci est un article de HackRead.com Lire le post original: new &# 8216; Nkabuse & # 8217;Linux Malware utilise la technologie Blockchain pour se propager By Deeba Ahmed The malware, dubbed NKAbuse, uses New Kind of Network (NKN) technology, a blockchain-powered peer-to-peer network protocol to spread its infection. This is a post from HackRead.com Read the original post: New ‘NKAbuse’ Linux Malware Uses Blockchain Technology to Spread	Malware		★★
	2023-12-16 11:17:34	La vulnérabilité NVR VIOSTOR NAPTOR activement exploitée par malware botnet QNAP VioStor NVR vulnerability actively exploited by malware botnet (lien direct)	Un botnet basé à Mirai nommé \\ 'InfectedSlurs \' exploite une vulnérabilité d'exécution de code distant (RCE) dans QNAP VIOSTORDispositifs NVR (enregistreur vidéo réseau) à détourner et les faire faire partie de son essaim DDOS (déni de service distribué).[...] A Mirai-based botnet named \'InfectedSlurs\' is exploiting a remote code execution (RCE) vulnerability in QNAP VioStor NVR (Network Video Recorder) devices to hijack and make them part of its DDoS (distributed denial of service) swarm. [...]	Malware Vulnerability		★★★
	2023-12-15 18:51:00	Les cyberattaques pro-hamas ont objectif \\ 'PEROGI \\' malware à plusieurs cibles du Moyen-Orient Pro-Hamas Cyberattackers Aim \\'Pierogi\\' Malware at Multiple Mideast Targets (lien direct)	Gaza Cybergang a créé une nouvelle version de porte dérobée remplie d'outils pour espionner et attaquer des cibles. Gaza Cybergang has created a new backdoor version stuffed with tools to spy on and attack targets.	Malware Tool		★★★
	2023-12-15 18:20:00	Complexe \\ 'nkabuse \\' Les logiciels malveillants utilisent la blockchain pour se cacher sur les machines Linux, IoT Complex \\'NKAbuse\\' Malware Uses Blockchain to Hide on Linux, IoT Machines (lien direct)	Le logiciel malveillant multiforme exploite le protocole de réseautage entre pairs basé sur la blockchain NKN, fonctionnant à la fois comme une porte arrière sophistiquée et un inondateur lançant des attaques DDOS. The multifaceted malware leverages the NKN blockchain-based peer-to-peer networking protocol, operating as both a sophisticated backdoor and a flooder launching DDoS attacks.	Malware		★★
	2023-12-15 14:28:05	Blockchain Blockchain Blockchain de Nkabuse pour frapper plusieurs architectures NKabuse backdoor harnesses blockchain brawn to hit several architectures (lien direct)	Nouveaux adapts de logiciels malveillants délivre des attaques DDOS et fournit des fonctionnalités de rat Les répondeurs incidents disent qu'ils ont trouvé un nouveau type de logiciels malveillants multiplateformes abusant du nouveau type de protocole de réseau (NKN)…	Malware		★★
	2023-12-15 10:55:00	New Nkabuse Malware exploite NKN Blockchain Tech pour les attaques DDOS New NKAbuse Malware Exploits NKN Blockchain Tech for DDoS Attacks (lien direct)	Une nouvelle menace multi-plate-forme appelée & nbsp; nkabuse & nbsp; a été découverte en utilisant un protocole de connectivité réseau décentralisé et peer-to-peer appelé & nbsp; nkn & nbsp; (abréviation du nouveau type de réseau) comme canal de communication. "Le logiciel malveillant utilise la technologie NKN pour l'échange de données entre les pairs, le fonctionnement comme un implant puissant et équipé de capacités à la fois des inondateurs et de la porte dérobée", russe A novel multi-platform threat called NKAbuse has been discovered using a decentralized, peer-to-peer network connectivity protocol known as NKN (short for New Kind of Network) as a communications channel. "The malware utilizes NKN technology for data exchange between peers, functioning as a potent implant, and equipped with both flooder and backdoor capabilities," Russian	Malware Threat		★★
	2023-12-15 01:31:05	Systèmes infectés contrôlés par des outils d'administration à distance (détectés par EDR) Infected Systems Controlled Through Remote Administration Tools (Detected by EDR) (lien direct)	Les outils d'administration à distance sont des logiciels pour gérer et contrôler les terminaux dans des endroits distants.Les outils peuvent être utilisés comme solutions de travail à domicile dans des circonstances telles que la pandémie Covid-19 et dans le but de contrôler, de gérer et de réparer les appareils sans pilote à distance.Ces outils de télécommande utilisés à des fins légitimes sont appelés rat, ce qui signifie & # 8220; outils d'administration à distance. & # 8221;De plus, les types de logiciels malveillants de porte dérobée tels que Remcos Rat, NJRAT, Quasar Rat et Avemaria sont appelés chevaux de Troie à distance (rat) parce que ceux-ci le rendent également ... Remote administration tools are software for managing and controlling terminals at remote locations. The tools can be used as work-at-home solutions in circumstances such as the COVID-19 pandemic and for the purpose of controlling, managing, and repairing unmanned devices remotely. Such remote control tools used for legitimate purposes are called RAT, meaning “Remote Administration Tools.” Additionally, backdoor malware types such as Remcos RAT, njRAT, Quasar RAT, and AveMaria are called Remote Access Trojans (RAT) because these also make it possible...	Malware Tool		★★
	2023-12-14 21:32:32	Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct)	#### Description Depuis octobre 2023, TA4557 cible les recruteurs avec des e-mails directs qui mènent à la livraison de logiciels malveillants.Les courriels initiaux sont bénins et expriment leur intérêt pour un rôle ouvert.Si la cible répond, la chaîne d'attaque commence. TA4557 a utilisé à la fois la nouvelle méthode d'envoyer des courriels recruteurs ainsi que l'ancienne technique de postulation à des emplois publiés sur des services d'emploi publics pour commencer la chaîne d'attaque.Une fois que le destinataire a répondu à l'e-mail initial, l'acteur a été observé en répondant avec une URL liant à un site Web contrôlé par l'acteur se faisant passer pour un curriculum vitae candidat.Si les victimes potentielles visitent le «site Web personnel» comme indiqué par l'acteur de menace, la page imite un curriculum vitae d'un candidat ou un chantier pour le candidat (TA4557) postule pour un rôle affiché.Le site Web utilise le filtrage pour déterminer s'il faut diriger l'utilisateur vers l'étape suivante de la chaîne d'attaque.Si la victime potentielle ne passe pas les vérifications de filtrage, elle est dirigée vers une page contenant un curriculum vitae en texte brut.Alternativement, s'ils passent les chèques de filtrage, ils sont dirigés vers le site Web des candidats. Le site Web des candidats utilise un captcha qui, s'il est terminé, lancera le téléchargement d'un fichier zip contenant un fichier de raccourci (LNK).Le LNK, s'il est exécuté, abuse des fonctions logicielles légitimes dans "ie4uinit.exe" pour télécharger et exécuter un script à partir d'un emplacement stocké dans le fichier "ie4uinit.inf".Cette technique est communément appelée «vivre de la terre» (LOTL).Le scriptlet déchiffre et laisse tomber une DLL dans le dossier% AppData% \ Microsoft.Ensuite, il tente de créer un nouveau processus RegSRV32 pour exécuter la DLL à l'aide de Windows Management Instrumentation (WMI) et, si cela échoue, essaie une approche alternative à l'aide de la méthode de run d'objet ActiveX.La DLL utilise des techniques de sous-sanche et d'anti-analyse.Il intègre une boucle spécifiquement conçue pour récupérer la clé RC4 nécessaire pour déchiffrer la porte dérobée More_Eggs.Cette boucle est stratégiquement conçue pour prolonger son temps d'exécution, améliorant ses capacités d'évasion dans un environnement de bac à sable.En outre, la DLL utilise plusieurs vérifications pour déterminer si elle est actuellement en cours de débogage, en utilisant la fonction NTQueryInformationProcess.La DLL laisse tomber la porte dérobée More_Eggs avec l'exécutable MSXSL.Par la suite, il initie la création du processus MSXSL à l'aide du service WMI. #### URL de référence (s) 1. https://www.proofpoint.com/us/blog/thereat-insight/security-brieF-TA4557-Targets-recruteurs #### Date de publication 14 décembre 2023 #### Auteurs) Kelsey Merriman Selena Larson Xavier Chambrier #### Description Since October 2023, TA4557 has been targeting recruiters with direct emails that lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pa	Malware Threat		★★
	2023-12-14 20:56:00	116 packages de logiciels malveillants trouvés sur le référentiel PYPI infectant Windows et Systems Linux 116 Malware Packages Found on PyPI Repository Infecting Windows and Linux Systems (lien direct)	Les chercheurs en cybersécurité ont identifié un ensemble de 116 packages malveillants sur le référentiel Python Package Index (PYPI) conçu pour infecter Windows et Systems Linux avec une porte dérobée personnalisée. "Dans certains cas, la charge utile finale est une variante de l'infâme & nbsp; W4SP Stealer, ou un simple moniteur de presse-papiers pour voler la crypto-monnaie, ou les deux", chercheurs ESET Marc-Etienne M.L & Eacute; Veill & eacute;et René Cybersecurity researchers have identified a set of 116 malicious packages on the Python Package Index (PyPI) repository that are designed to infect Windows and Linux systems with a custom backdoor. "In some cases, the final payload is a variant of the infamous W4SP Stealer, or a simple clipboard monitor to steal cryptocurrency, or both," ESET researchers Marc-Etienne M.Léveillé and Rene	Malware		★★

Last update at: 2024-06-04 11:08:10
See our sources.

To see everything: Our RSS (filtrered)