What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-03-28 21:00:00 | MacStealer Malware Plucks Bushels of Data From Apple Users (lien direct) | A novel cyber threat against macOS users is being sold for $100 a pop on the Dark Web, and activity is ramping up.
A novel cyber threat against macOS users is being sold for $100 a pop on the Dark Web, and activity is ramping up. |
Malware Threat | ★★ | |
|
2023-03-28 20:41:00 | NullMixer Polymorphic Malware Variant Infects 8K Targets in Just a Month (lien direct) | The NullMixer loader has compromised thousands of endpoints in the US, France, and Italy, stealing data and selling it to Dark Web data dealers, all without setting off alarm bells.
The NullMixer loader has compromised thousands of endpoints in the US, France, and Italy, stealing data and selling it to Dark Web data dealers, all without setting off alarm bells. |
Malware | ★★ | |
 |
2023-03-28 17:49:13 | Les navigateurs TOR TOR TROJANISEZ ciblent les Russes avec des logiciels malveillants crypto-noyaux [Trojanized Tor browsers target Russians with crypto-stealing malware] (lien direct) | Une montée en puissance des installateurs de navigateur TOR trojanisé cible les Russes et les Européens de l'Est avec des logiciels malveillants de Hijacks du presse-papiers qui volent les transactions de crypto-monnaie infectées.[...]
A surge of trojanized Tor Browser installers targets Russians and Eastern Europeans with clipboard-hijacking malware that steals infected users\' cryptocurrency transactions. [...] |
Malware | ★★ | |
 |
2023-03-28 17:38:00 | Les changements de logiciels malveillants icedid se concentrent de la fraude bancaire à la livraison des ransomwares [IcedID Malware Shifts Focus from Banking Fraud to Ransomware Delivery] (lien direct) | Des acteurs de menaces multiples ont été observés à l'aide de deux nouvelles variantes du malware icedid à l'état sauvage avec des fonctionnalités plus limitées qui suppriment les fonctionnalités liées à la fraude bancaire en ligne.
Icedide, également connu sous le nom de Bokbot, a commencé comme un Troie bancaire en 2017. Il est également capable de livrer des logiciels malveillants supplémentaires, y compris des ransomwares.
"La version glacée bien connue se compose d'un chargeur initial
Multiple threat actors have been observed using two new variants of the IcedID malware in the wild with more limited functionality that removes functionality related to online banking fraud. IcedID, also known as BokBot, started off as a banking trojan in 2017. It\'s also capable of delivering additional malware, including ransomware. "The well-known IcedID version consists of an initial loader |
Ransomware Malware Threat | ★★★ | |
 |
2023-03-28 16:30:00 | Le presse-papiers attaque les utilisateurs de crypto-monnaie cible [Clipboard-Injector Attacks Target Cryptocurrency Users] (lien direct) | La campagne de logiciels malveillants reposant sur cette technique a été observée abusant des installateurs de navigateur TOR
The malware campaign relying on this technique was observed abusing Tor Browser installers |
Malware | ★★ | |
 |
2023-03-28 15:49:24 | (Déjà vu) Emotet étend ses activités avec des variantes du malware IcedID (lien direct) | >Les chercheurs en cybersécurité de Proofpoint viennent de publier une nouvelle analyse présentant pour la première fois plusieurs nouvelles variantes du logiciel malveillant IcedID, ainsi que des informations indiquant que les opérateurs initiaux du célèbre botnet Emotet font désormais équipe avec les opérateurs IcedID pour étendre leurs activités. The post Emotet étend ses activités avec des variantes du malware IcedID first appeared on UnderNews. | Malware | ★★★ | |
|
2023-03-28 15:23:00 | Fondeurs malveillants dbatloader furtifs étalant Remcos Rat et Formbook en Europe [Stealthy DBatLoader Malware Loader Spreading Remcos RAT and Formbook in Europe] (lien direct) | Une nouvelle campagne de phishing a visionné les entités européennes pour distribuer Remcos Rat et FormBook via un chargeur de logiciels malveillants doublé DBATloader.
"La charge utile de malware est distribuée via des sites Web WordPress qui ont autorisé les certificats SSL, qui est une tactique courante utilisée par les acteurs de la menace pour échapper aux moteurs de détection", a déclaré les chercheurs de ZSCaler Meghraj Nandanwar et Satyam Singh dans un rapport dans un rapport
A new phishing campaign has set its sights on European entities to distribute Remcos RAT and Formbook via a malware loader dubbed DBatLoader. "The malware payload is distributed through WordPress websites that have authorized SSL certificates, which is a common tactic used by threat actors to evade detection engines," Zscaler researchers Meghraj Nandanwar and Satyam Singh said in a report |
Malware Threat | ★★★ | |
 |
2023-03-28 13:27:29 | Emotet étend ses activités avec des variantes du malware IcedID - Recherche Proofpoint (lien direct) | Les chercheurs en cybersécurité de Proofpoint viennent de publier une nouvelle analyse présentant pour la première fois plusieurs nouvelles variantes du logiciel malveillant IcedID, ainsi que des informations indiquant que les opérateurs initiaux du célèbre botnet Emotet font désormais équipe avec les opérateurs IcedID pour étendre leurs activités. - Malwares | Malware | ★★★ | |
 |
2023-03-28 13:00:00 | Cyberheistnews Vol 13 # 13 [Oeil Overner] Comment déjouer les attaques de phishing basées sur l'IA sournoises [CyberheistNews Vol 13 #13 [Eye Opener] How to Outsmart Sneaky AI-Based Phishing Attacks] (lien direct) |
CyberheistNews Vol 13 #13 | March 28th, 2023
[Eye Opener] How to Outsmart Sneaky AI-Based Phishing Attacks
Users need to adapt to an evolving threat landscape in which attackers can use AI tools like ChatGPT to craft extremely convincing phishing emails, according to Matthew Tyson at CSO.
"A leader tasked with cybersecurity can get ahead of the game by understanding where we are in the story of machine learning (ML) as a hacking tool," Tyson writes. "At present, the most important area of relevance around AI for cybersecurity is content generation.
"This is where machine learning is making its greatest strides and it dovetails nicely for hackers with vectors such as phishing and malicious chatbots. The capacity to craft compelling, well-formed text is in the hands of anyone with access to ChatGPT, and that\'s basically anyone with an internet connection."
Tyson quotes Conal Gallagher, CIO and CISO at Flexera, as saying that since attackers can now write grammatically correct phishing emails, users will need to pay attention to the circumstances of the emails.
"Looking for bad grammar and incorrect spelling is a thing of the past - even pre-ChatGPT phishing emails have been getting more sophisticated," Gallagher said. "We must ask: \'Is the email expected? Is the from address legit? Is the email enticing you to click on a link?\' Security awareness training still has a place to play here."
Tyson explains that technical defenses have become very effective, so attackers focus on targeting humans to bypass these measures.
"Email and other elements of software infrastructure offer built-in fundamental security that largely guarantees we are not in danger until we ourselves take action," Tyson writes. "This is where we can install a tripwire in our mindsets: we should be hyper aware of what it is we are acting upon when we act upon it.
"Not until an employee sends a reply, runs an attachment, or fills in a form is sensitive information at risk. The first ring of defense in our mentality should be: \'Is the content I\'m looking at legit, not just based on its internal aspects, but given the entire context?\' The second ring of defense in our mentality then has to be, \'Wait! I\'m being asked to do something here.\'"
New-school security awareness training with simulated phishing tests enables your employees to recognize increasingly sophisticated phishing attacks and builds a strong security culture.
Remember: Culture eats strategy for breakfast and is always top-down.
Blog post with links:https://blog.knowbe4.com/identifying-ai-enabled-phishing
|
Ransomware Malware Hack Tool Threat Guideline | ChatGPT ChatGPT | ★★★ |
 |
2023-03-28 10:00:08 | Copier-coller un casse ou des attaques d'injecteur de presse-papiers contre les cryptans [Copy-paste heist or clipboard-injector attacks on cryptousers] (lien direct) | Clifboard Injecteur Maleware ciblant les crypto-monnaies telles que Bitcoin, Ethereum, Litecoin, Dogecoin et Monero, est distribuée sous le couvert du navigateur Tor.
Clipboard injector malware targeting cryptocurrencies such as Bitcoin, Ethereum, Litecoin, Dogecoin and Monero, is distributed under the guise of Tor Browser. |
Malware | ★★★ | |
 |
2023-03-28 10:00:00 | Dridex Malware, le Troie bancaire [Dridex malware, the banking trojan] (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Introduction: Dridex, also known as Cridex or Bugat, is a banking Trojan that has been active since 2011. The malware is primarily used to steal sensitive information, such as login credentials and financial information, from victims. Dridex is known for its ability to evade detection by using dynamic configuration files and hiding its servers behind proxy layers. The Dridex malware typically spreads through spam email campaigns, with the emails containing a malicious attachment or link that, when clicked, will install the malware on the victim\'s computer. The malware then uses web injections to steal financial information from the victim. One of the interesting features of Dridex is its use of a peer-to-peer (P2P) network for command and control (C&C) communication. This allows the attackers to evade detection by security researchers and law enforcement, as the C&C servers can be quickly changed if one is discovered. In terms of atomic techniques, Dridex uses a variety of methods to evade detection and maintain persistence on an infected system. Some of these techniques include: Fileless infection: Dridex can infect a system without leaving any trace of a malicious file on the hard drive. Process hollowing: Dridex can inject its code into a legitimate process in order to evade detection by security software. Anti-debugging and anti-virtualization: Dridex can detect if it is running in a virtualized environment or if it is being debugged, and will terminate itself if it is. Dridex is a well-known and sophisticated banking trojan that has been active for more than a decade, the malware has been known to target financial institutions, businesses, and individuals. Despite the arrest of one of its administrators in 2015, the malware continues to be active and evolve. Recent infection on Macs: The recent variant of Dridex malware that targets MacOS systems delivers malicious macros via documents in a new way. The malware typically spreads through spam email campaigns, with the emails containing a malicious attachment or link that, when clicked, will install the malware on the victim\'s computer. The variant overwrites document files to carry Dridex\'s malicious macros, but currently, the payload it delivers is a Microsoft exe file, which won\'t run on a MacOS environment. This suggests that the variant may still be in the testing stages and not yet fully converted to work on MacOS machines. However, it\'s possible that the attackers will make further modifications to make it compatible with MacOS in the future. Once the malware is installed on the system, it searches for files with .doc extensions and overwrites them with the malicious code. The overwritten code has a D0CF file format signature, implying it is a Microsoft document file. This means that the malicious macros are delivered via document files, which makes it harder for the user to determine if the file is malicious or not. The malware also uses basic string encryption to hide the malicious URL it connects to in order to retrieve a file. This method of delivery is different from the traditional method of delivery, which is through email attachments. This shows that the attackers behind Dridex are trying to find new targets and more efficient methods of entry. How it works: Dridex is a banking Trojan that is typically distributed through phishing email campaigns. The malware is delivered as an attachment, often in the form of a Word or Excel document, that contains a malicious macro. Once the macro is enabled, it will download and execute the Dridex payload on the victim\'s system. Once installed, Dridex can perform a variety of malicious actions, including keylogging, capturing scre | Spam Malware Guideline | ★★★ | |
 |
2023-03-28 09:30:26 | De nouvelles variantes icedids passent de la livraison de logiciels malveillants à la fraude bancaire [New IcedID Variants Switch From Delivering Malware To Bank Fraud] (lien direct) | Le programme Banking Trojan IceDID, qui a récemment été utilisé pour répandre les ransomwares, a deux nouvelles variations que les experts en sécurité ont observées dans les campagnes d'attaque.Les deux nouvelles variations sont plus légères que l'original car certaines fonctionnalités ont été supprimées, dont l'une semble être associée à l'EmoTet Botnet.Dans un [& # 8230;]
The banking Trojan program IcedID, which has recently been used to spread ransomware, has two new variations that security experts have observed being utilized in attack campaigns. The two new variations are lighter than the original since certain functionality has been removed, one of which looks to be associated with the Emotet botnet. In a […] |
Malware | ★★★ | |
 |
2023-03-28 04:10:27 | Comment sécuriser votre appareil mobile: 8 conseils pour 2023 [How to Secure Your Mobile Device: 8 Tips for 2023] (lien direct) | La technologie et la portabilité en évolution rapide des appareils mobiles ont forcé les gens à s'appuyer fortement sur ces produits.Avec leurs fonctionnalités accrues, les appareils mobiles effectuent un certain nombre de nos activités quotidiennes, telles que la navigation sur le Web, la réservation de rendez-vous, la mise en place de rappels, le partage de fichiers, la messagerie instantanée, les appels vidéo et même les services bancaires mobiles.Compte tenu de toutes ces fonctionnalités, les appareils mobiles sont vulnérables aux menaces en ligne et sensibles aux attaques physiques en raison de leur portabilité.Certaines menaces de sécurité incluent des logiciels malveillants spécialement conçus pour les appareils mobiles, c'est-à-dire les vers ...
The rapidly changing technology and portability of mobile devices have forced people to rely heavily on those products. With their increased functionalities, mobile devices carry out a number of our day-to-day activities, such as surfing the web, booking appointments, setting up reminders, sharing files, instant messaging, video calling, and even mobile banking. Given all these functionalities, mobile devices are vulnerable to online threats and susceptible to physical attacks due to their portability. Some security threats include malware specifically designed for mobile devices, i.e., worms... |
Malware | ★★★ | |
 |
2023-03-27 23:30:00 | Nouvel infostealer Lummac2 distribué déguisé en fissures illégales [New Infostealer LummaC2 Being Distributed Disguised As Illegal Cracks] (lien direct) | un nouvel infostecteur appelé & # 8220; Lummac2 & # 8221;est distribué déguisé en programmes illégaux tels que les fissures et les clés.D'autres logiciels malveillants tels que Cryptbot, Redline, Vidar et Recordbreaker (Raccoon V2) sont distribués de manière similaire et ont été couverts ici sur ASEC Blog.Il semble que le Stealer Lummac2 soit disponible à l'achat sur le Dark Web depuis le début de cette année, et depuis mars, il est distribué par un groupe de menaces déguisé en fissure.Bien que cela ...
A new Infostealer called “LummaC2” is being distributed disguised as illegal programs such as cracks and keygens. Other malware such as CryptBot, RedLine, Vidar, and RecordBreaker (Raccoon V2) are distributed in a similar manner and have been covered here on ASEC Blog. It appears that the LummaC2 Stealer has been available for purchase on the dark web since the beginning of this year, and since March, it has been distributed by a threat group disguised as a crack. Although this... |
Malware Threat | ★★ | |
|
2023-03-27 23:10:00 | Suivi du malware CHM à l'aide d'EDR [Tracking the CHM Malware Using EDR] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a partagé un cas d'attaque APT qui a récemment utilisé CHM (compilé (compiléFichier d'aide HTML).Malware distribué déguisé en fichier de mot de passe CHM est un écran d'aide qui se trouve dans un format HTML.Les acteurs de la menace sont capables de saisir des codes de script malveillants dans les HTML avec l'inclusion de CHM.Le script inséré est exécuté via HH.EXE qui est une application de système d'exploitation par défaut.Mitre att & # 38; ck fait référence à cette technique où un acteur de menace utilise un ...
AhnLab Security Emergency response Center (ASEC) has shared an APT attack case that has recently used CHM (Compiled HTML Help File). Malware Distributed Disguised as a Password File CHM is a Help screen that is in an HTML format. Threat actors are able to input malicious scrip codes in HTMLs with the inclusion of CHM. The inserted script is executed through hh.exe which is a default OS application. MITRE ATT&CK refers to this technique where a threat actor uses a... |
Malware Threat | ★★ | |
|
2023-03-27 16:08:00 | Nouveau Macstealer MacOS malware vole les données et les mots de passe iCloud [New MacStealer macOS Malware Steals iCloud Keychain Data and Passwords] (lien direct) | Un nouveau logiciel malveillant de vol d'informations a fixé son objectif sur le système d'exploitation MacOS d'Apple \\ pour siphon des informations sensibles à partir de périphériques compromis.
Surnommé MacStealer, il est le dernier exemple de menace qui utilise Telegram comme plate-forme de commande et de contrôle (C2) pour exfiltrer les données.Il affecte principalement les appareils exécutant des versions macOS Catalina et fonctionnant plus tard sur les processeurs M1 et M2.
"Macstealer a le
A new information-stealing malware has set its sights on Apple\'s macOS operating system to siphon sensitive information from compromised devices. Dubbed MacStealer, it\'s the latest example of a threat that uses Telegram as a command-and-control (C2) platform to exfiltrate data. It primarily affects devices running macOS versions Catalina and later running on M1 and M2 CPUs. "MacStealer has the |
Malware Threat | ★★ | |
|
2023-03-27 16:00:00 | Trois variantes de logiciels malveillants icedid découverts [Three Variants of IcedID Malware Discovered] (lien direct) | Les nouvelles variantes suggèrent que des efforts considérables se déroulent dans l'avenir de l'Icedid et de sa base de code
The new variants hint that considerable effort is going into the future of IcedID and its codebase |
Malware | ★★★ | |
|
2023-03-27 15:30:00 | Le nouveau macstealer cible Catalina, versions plus récentes de macOS [New MacStealer Targets Catalina, Newer MacOS Versions] (lien direct) | Le malware peut extraire des informations des documents, des cookies de navigateur et des informations de connexion
The malware can extract information from documents, browser cookies and login information |
Malware | ★★★ | |
 |
2023-03-27 15:28:06 | Rhadamanthys: l'infosteller «tout bagel» [Rhadamanthys: The “Everything Bagel” Infostealer] (lien direct) | > Contexte à retenir les principaux qu'est-ce qui fait que un homme se réveille un jour et dit: «Je vais construire mon propre logiciel malveillant et le vendre aux cybercriminels sur le Web Dark»?Après tout, le marché est saturé de concurrents, et le produit est jugé sur la seule mesure unique du nombre de victimes qu'il a [& # 8230;]
>Key Takeaways Background What causes a man to wake up one day and say, “I\'m going to build my own malware and go sell it to cybercriminals on the dark web”? After all, the market is saturated with competitors, and the product is judged on the one sole metric of how many victims it has […] |
Malware | ★★★ | |
|
2023-03-27 15:25:03 | Les nouvelles variantes icedid passent de la fraude bancaire à la livraison de logiciels malveillants [New IcedID variants shift from bank fraud to malware delivery] (lien direct) | De nouvelles variantes icedid ont été trouvées sans les fonctionnalités habituelles de la fraude bancaire en ligne et se concentrent plutôt sur l'installation de logiciels malveillants supplémentaires sur des systèmes compromis.[...]
New IcedID variants have been found without the usual online banking fraud functionality and instead focus on installing further malware on compromised systems. [...] |
Malware | ★ | |
 |
2023-03-27 14:15:05 | Voici Nexus, la nouvelle menace qui plane sur les smartphones Android (lien direct) |  Un nouveau virus met en danger les smartphones Android. De plus en plus répandu dans le milieu criminel, le malware est surtout conçu pour voler les coordonnées bancaires et les cryptomonnaies de ses cibles… |
Malware | ★★ | |
 |
2023-03-27 13:40:41 | New IcedID variants shift from bank fraud to malware delivery (lien direct) | Pas de details / No more details | Malware | ★★ | |
|
2023-03-27 13:16:39 | New Macstealer macOS malware vole les mots de passe de iCloud Keychain [New MacStealer macOS malware steals passwords from iCloud Keychain] (lien direct) | Un nouveau logiciel malveillant de vol d'informations nommé MacStealer cible les utilisateurs de Mac, vole leurs informations d'identification stockées dans le trousseau iCloud et les navigateurs Web, les portefeuilles de crypto-monnaie et les fichiers potentiellement sensibles.[...]
A new info-stealing malware named MacStealer is targeting Mac users, stealing their credentials stored in the iCloud KeyChain and web browsers, cryptocurrency wallets, and potentially sensitive files. [...] |
Malware | ★★ | |
|
2023-03-27 10:00:00 | À quelle fréquence les audits de sécurité devraient-ils être? [How often should security audits be?] (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In today’s digital world, it’s no surprise that cyberattacks are becoming more frequent and intense. Enterprises worldwide are trying to defend themselves against attacks such as ransomware, phishing, distributed denial of service and more. In this challenging cybersecurity landscape, now is the time for companies to prioritize security audits. What are cybersecurity audits and how often should they be to remain safe in the threatening IT world? Cybersecurity audits and their importance A cybersecurity audit establishes a set of criteria organizations can use to check the preventive cybersecurity measures they have in place to ensure they’re defending themselves against ongoing threats. Because cybersecurity risks and threats are growing more sophisticated and frequent in nature, organizations must plan and conduct cybersecurity audits regularly. In doing so, they will have continuous protection from external and internal threats. How often companies should perform security audits There’s no official schedule companies must follow for their cybersecurity audits, but in general, it’s recommended that they perform audits at least once a year. However, the IT landscape is changing so quickly that more audits often amount to better protection for an organization. Businesses working with sensitive information — such as personally identifiable information — should consider conducting cybersecurity audits twice a year, if not more frequently. However, keep in mind that your company may need more time or resources to perform quarterly or monthly audits. The goal is to balance the number of audits you perform and the amount you spend on the audits themselves. There are many types of audits out there. For example, a blended audit that combines remote and in-person auditing tasks can be helpful for global organizations with remote workers. But two types of audits — routine and event-based — are important to know. You should certainly conduct routine audits annually or semi-annually, and event-based audits should be done when any major events happen within your IT infrastructure. For example, suppose you add servers to your network or transition to a new project management software. In that case, these “events” require you to perform another audit, as the changes could impact your cybersecurity posture. 4 Benefits of performing audits The primary purpose of a security audit is to find weaknesses in your cybersecurity program so you can fix them before cybercriminals exploit them. It can also help companies maintain compliance with changing regulatory requirements. Here are some of the primary benefits you can reap by performing regular security audits. 1. Limits downtime Extended downtime can cost your business a lot of money. According to Information Technology Intelligence Consulting, 40% of organizations surveyed say hourly downtime can cost them between one and five million dollars, excluding legal fees, penalties or fines. Downtime can occur due to poor IT management or something more serious like a cybersecurity incident. Auditing is the first step companies must take to identify weaknesses that could eventually lead to downtime. 2. Reduces the chance of a cyberattack As stated a | Malware Guideline | ★★★ | |
 |
2023-03-26 23:15:07 | CVE-2023-1644 (lien direct) | Une vulnérabilité a été trouvée dans IOBIT Malware Fighter 9.4.0.776 et classifiée comme problématique.Ce problème est la fonction 0x8018e010 dans la bibliothèque imfcameraprotect.sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Il est possible de lancer l'attaque de l'hôte local.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-224024.
A vulnerability was found in IObit Malware Fighter 9.4.0.776 and classified as problematic. Affected by this issue is the function 0x8018E010 in the library IMFCameraProtect.sys of the component IOCTL Handler. The manipulation leads to denial of service. It is possible to launch the attack on the local host. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-224024. |
Malware Vulnerability Guideline | ||
|
2023-03-26 23:15:07 | CVE-2023-1646 (lien direct) | Une vulnérabilité a été trouvée dans Iobit Malware Fighter 9.4.0.776.Il a été déclaré comme critique.Cette vulnérabilité affecte la fonction 0x8018e000 / 0x8018e004 dans la bibliothèque imfcameraprotect.sys du gestionnaire IOCTL du composant.La manipulation conduit à un débordement de tampon basé sur la pile.Une attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.VDB-224026 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in IObit Malware Fighter 9.4.0.776. It has been declared as critical. This vulnerability affects the function 0x8018E000/0x8018E004 in the library IMFCameraProtect.sys of the component IOCTL Handler. The manipulation leads to stack-based buffer overflow. An attack has to be approached locally. The exploit has been disclosed to the public and may be used. VDB-224026 is the identifier assigned to this vulnerability. |
Malware Vulnerability Guideline | ||
|
2023-03-26 23:15:07 | CVE-2023-1645 (lien direct) | Une vulnérabilité a été trouvée dans Iobit Malware Fighter 9.4.0.776.Il a été classé comme problématique.Cela affecte la fonction 0x8018e008 dans la bibliothèque imfcameraprotect.sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.L'attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-224025 a été attribué à cette vulnérabilité.
A vulnerability was found in IObit Malware Fighter 9.4.0.776. It has been classified as problematic. This affects the function 0x8018E008 in the library IMFCameraProtect.sys of the component IOCTL Handler. The manipulation leads to denial of service. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier VDB-224025 was assigned to this vulnerability. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:07 | CVE-2023-1642 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Iobit Malware Fighter 9.4.0.776.La fonction est la fonction 0x222034 / 0x222038 / 0x22203C / 0x222040 dans la bibliothèque ObcallBackProcess.SYS du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.L'accès local est nécessaire pour aborder cette attaque.L'exploit a été divulgué au public et peut être utilisé.VDB-224022 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, was found in IObit Malware Fighter 9.4.0.776. Affected is the function 0x222034/0x222038/0x22203C/0x222040 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. Local access is required to approach this attack. The exploit has been disclosed to the public and may be used. VDB-224022 is the identifier assigned to this vulnerability. |
Malware Guideline | ||
|
2023-03-26 22:15:07 | CVE-2023-1643 (lien direct) | Une vulnérabilité a été trouvée dans IOBIT Malware Fighter 9.4.0.776 et classifiée comme problématique.Cette vulnérabilité est la fonction 0x8001e000 / 0x8001e004 / 0x8001e018 / 0x8001e01c / 0x8001e024 / 0x8001e040 dans la bibliothèque imfhpregfilter.sys du gestionnaire de composant IOCTL.La manipulation conduit au déni de service.Attaquer localement est une exigence.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-224023.
A vulnerability has been found in IObit Malware Fighter 9.4.0.776 and classified as problematic. Affected by this vulnerability is the function 0x8001E000/0x8001E004/0x8001E018/0x8001E01C/0x8001E024/0x8001E040 in the library ImfHpRegFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. Attacking locally is a requirement. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-224023. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:06 | CVE-2023-1640 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans IOBIT MALWORE Fighter 9.4.0.776.Cette vulnérabilité affecte la fonction 0x222010 dans la bibliothèque obcallbackprocess.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.L'attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-224020.
A vulnerability classified as problematic was found in IObit Malware Fighter 9.4.0.776. This vulnerability affects the function 0x222010 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-224020. |
Malware Vulnerability Guideline | ||
|
2023-03-26 22:15:06 | CVE-2023-1641 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Iobit Malware Fighter 9.4.0.776.Ce problème affecte la fonction 0x222018 dans la bibliothèque obcallbackprocess.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Une attaque doit être approchée localement.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-224021 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, has been found in IObit Malware Fighter 9.4.0.776. This issue affects the function 0x222018 in the library ObCallbackProcess.sys of the component IOCTL Handler. The manipulation leads to denial of service. An attack has to be approached locally. The exploit has been disclosed to the public and may be used. The identifier VDB-224021 was assigned to this vulnerability. |
Malware Guideline | ||
|
2023-03-26 21:15:06 | CVE-2023-1639 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans IOBIT MALWORE Fighter 9.4.0.776.Cela affecte la fonction 0x8001e04c dans la bibliothèque imfregistryFilter.SYS du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Il est possible de lancer l'attaque de l'hôte local.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-224019.
A vulnerability classified as problematic has been found in IObit Malware Fighter 9.4.0.776. This affects the function 0x8001E04C in the library ImfRegistryFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. It is possible to launch the attack on the local host. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-224019. |
Malware Vulnerability Guideline | ||
|
2023-03-26 21:15:06 | CVE-2023-1638 (lien direct) | Une vulnérabilité a été trouvée dans Iobit Malware Fighter 9.4.0.776.Il a été considéré comme problématique.Ce problème est la fonction 0x8001e024 / 0x8001e040 dans la bibliothèque imfregistryFilter.Sys du gestionnaire IOCTL du composant.La manipulation conduit au déni de service.Attaquer localement est une exigence.L'exploit a été divulgué au public et peut être utilisé.VDB-224018 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in IObit Malware Fighter 9.4.0.776. It has been rated as problematic. Affected by this issue is the function 0x8001E024/0x8001E040 in the library ImfRegistryFilter.sys of the component IOCTL Handler. The manipulation leads to denial of service. Attacking locally is a requirement. The exploit has been disclosed to the public and may be used. VDB-224018 is the identifier assigned to this vulnerability. |
Malware Vulnerability Guideline | ||
|
2023-03-26 10:46:56 | Emotet Malware distribué sous forme de faux formulaires fiscaux W-9 à partir de l'IRS [Emotet malware distributed as fake W-9 tax forms from the IRS] (lien direct) | Une nouvelle campagne Emotet Phishing vise les contribuables américains en usurpant l'identité des formulaires fiscaux W-9 qui auraient envoyé par l'Internal Revenue Service et les entreprises avec lesquelles vous travaillez.[...]
A new Emotet phishing campaign is targeting U.S. taxpayers by impersonating W-9 tax forms allegedly sent by the Internal Revenue Service and companies you work with. [...] |
Malware | ★★★ | |
 |
2023-03-24 13:00:00 | Nouvelles attaques cible les canaux de service à la clientèle en ligne [New Attack Targets Online Customer Service Channels] (lien direct) | > Un groupe d'attaquant inconnu cible les agents du service client dans les sociétés de jeu et de jeu avec un nouvel effort de logiciel malveillant.Connu sous le nom de IceBreaker, le code est capable de voler des mots de passe et des cookies, d'expulser les fichiers, de prendre des captures d'écran et d'exécuter des scripts VBS personnalisés.Bien que ce soient des fonctions assez standard, ce qui distingue le brise-glace, c'est son vecteur d'infection.Malveillant [& # 8230;]
>An unknown attacker group is targeting customer service agents at gambling and gaming companies with a new malware effort. Known as IceBreaker, the code is capable of stealing passwords and cookies, exfiltrating files, taking screenshots and running custom VBS scripts. While these are fairly standard functions, what sets IceBreaker apart is its infection vector. Malicious […] |
Malware | ★★ | |
|
2023-03-24 10:47:57 | \\ 'amer \\' Hackers d'espionnage cibler les orgs d'énergie nucléaire chinoise [\\'Bitter\\' espionage hackers target Chinese nuclear energy orgs] (lien direct) | Un groupe de piratage de cyberespionnage suivi sous le nom de \\ 'amer APT \' a récemment été vu ciblant l'industrie chinoise de l'énergie nucléaire en utilisant des e-mails de phishing pour infecter les appareils avec des téléchargeurs de logiciels malveillants.[...]
A cyberespionage hacking group tracked as \'Bitter APT\' was recently seen targeting the Chinese nuclear energy industry using phishing emails to infect devices with malware downloaders. [...] |
Malware General Information | ★★ | |
|
2023-03-23 23:00:00 | Chinaz ddos bot malware distribué aux serveurs SSH Linux [ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a récemment découvert que les logiciels malveillants du bot DDOServeurs Linux SSH.En tant que l'un des groupes de menaces chinoises découverts pour la première fois vers 2014, le groupe Chinaz installe divers bots DDOLe groupe comprend Xorddos, Aesddos, Billgates et Mrblack.Cet article couvrira le bot DDOS connu sous le nom de chinaz ou chinaz ddoscient.1. Attaquez ...
AhnLab Security Emergency response Center (ASEC) has recently discovered the ChinaZ DDoS Bot malware being installed on inadequately managed Linux SSH servers. As one of the Chinese threat groups that were first discovered around 2014, the ChinaZ group installs various DDoS bots on Windows and Linux systems. [1] Major DDoS bots assumed to have been created by the ChinaZ threat group include XorDDoS, AESDDos, BillGates, and MrBlack. This article will cover the DDoS bot known as ChinaZ or ChinaZ DDoSClient. 1. Attack... |
Malware Threat | ★★ | |
|
2023-03-23 22:00:00 | OneNote Malware déguisé en formulaire de compensation (Kimsuky) [OneNote Malware Disguised as Compensation Form (Kimsuky)] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a découvert la distribution d'un malware Onenote déguisé en forme liée à une formeà la compensation.Le fichier confirmé est usurpé l'identité du même centre de recherche que le logiciel malveillant de type LNK couvert dans l'article ci-dessous.Sur la base de l'activité malveillante identique effectuée par les fichiers VBS, l'équipe a déduit que le même acteur de menace est derrière les deux incidents.Malware distribué déguisé en fichier de mot de passe comme indiqué dans la figure ci-dessous, une page discutant de la compensation ...
AhnLab Security Emergency response Center (ASEC) has discovered the distribution of a OneNote malware disguised as a form related to compensation. The confirmed file is impersonating the same research center as the LNK-type malware covered in the post below. Based on the identical malicious activity performed by the VBS files, the team has deduced that the same threat actor is behind both incidents. Malware Distributed Disguised as a Password File As shown in the figure below, a page discussing compensation... |
Malware Threat | ★★ | |
|
2023-03-23 21:30:00 | Nouveau malware Android cible les clients de 450 institutions financières dans le monde [New Android Malware Targets Customers of 450 Financial Institutions Worldwide] (lien direct) | "Nexus" est le dernier d'une gamme vaste et croissante de chevaux de Troie ciblant la banque mobile et les applications de crypto-monnaie.
"Nexus" is the latest in a vast and growing array of Trojans targeting mobile banking and cryptocurrency applications. |
Malware | ★★★★ | |
|
2023-03-23 17:30:00 | «Opération Tained Love» alignée sur la Chine cible les fournisseurs de télécommunications du Moyen-Orient [China-Aligned "Operation Tainted Love" Targets Middle East Telecom Providers] (lien direct) | Le déploiement de logiciels malveillants sur le vol d'identification personnalisés est la principale nouveauté de la nouvelle campagne
The deployment of custom credential theft malware is the main novelty of the new campaign |
Malware | ★★ | |
 |
2023-03-23 14:18:00 | Le dernier Intel sur les essuie-glaces [The Latest Intel on Wipers] (lien direct) | La recherche Fortiguard Labs a révélé que les logiciels malveillants d'essuie-glace ont décollé dans la seconde moitié de 2022. Dans cet article, découvrez la croissance des logiciels malveillants d'essuie-glace et comment éviter un essuie.
FortiGuard Labs research found wiper malware took off in the second half of 2022. In this article learn about the growth of wiper malware and how to avoid a wipeout. |
Malware Studies | ★★★ | |
|
2023-03-23 14:10:11 | Agences allemandes et sud-coréennes alertes des attaques de Kimsuky \\ [German and South Korean Agencies Alerts of Kimsuky\\'s Attacks] (lien direct) | Les agences de renseignement allemandes et sud-coréennes ont émis un avertissement conjoint contre les tactiques de cyberattaque croissantes d'un groupe de pirates nord-coréen appelé Kimsuky.Le groupe, soutenu par le gouvernement nord-coréen, a ciblé des organisations dans les deux pays avec des campagnes de phishing sophistiquées et des attaques de logiciels malveillants.L'avertissement intervient alors que les cyberattaques continuent [& # 8230;]
German and South Korean intelligence agencies have issued a joint warning against the increasing cyber-attack tactics of a North Korean hacker group called Kimsuky. The group, believed to be backed by the North Korean government, has been targeting organizations in both countries with sophisticated phishing campaigns and malware attacks. The warning comes as cyber-attacks continue […] |
Malware General Information | ★★★ | |
|
2023-03-23 11:09:06 | Les logiciels malveillants de volume d'informations Python utilisent Unicode pour échapper à la détection [Python info-stealing malware uses Unicode to evade detection] (lien direct) | Un package Python malveillant sur PYPI utilise Unicode comme technique d'obscurcissement pour échapper à la détection tout en volant et en exfiltrant les développeurs \\ 'des informations d'identification et d'autres données sensibles à partir de dispositifs compromis.[...]
A malicious Python package on PyPI uses Unicode as an obfuscation technique to evade detection while stealing and exfiltrating developers\' account credentials and other sensitive data from compromised devices. [...] |
Malware Hack | ★★★ | |
|
2023-03-23 10:00:00 | Blackguard Stealer étend ses capacités dans une nouvelle variante [BlackGuard stealer extends its capabilities in new variant] (lien direct) | AT&T Alien Labs researchers have discovered a new variant of BlackGuard stealer in the wild, infecting using spear phishing attacks. The malware evolved since its previous variant and now arrives with new capabilities.
Key takeaways:
BlackGuard steals user sensitive information from a wide range of applications and browsers.
The malware can hijack crypto wallets copied to clipboard.
The new variant is trying to propagate through removable media and shared devices.
Background
BlackGuard stealer is malware as a service sold in underground forums and Telegram since 2021, when a Russian user posted information about a new malware called BlackGuard. It was offered for $700 lifetime or $200 monthly, claiming it can collect information from a wide range of applications and browsers.
In November 2022, an update for BlackGuard was announced in Telegram by its developer. Along with the new features, the malware author suggests free help with installing the command & control panel (Figure 1)
Figure 1. Announcement of new malware version in its Telegram channel.
Analysis
When executed, BlackGuard first checks if another instance is running by creating a Mutex.
Then to ensure it will survive a system reboot, the malware adds itself to the “Run” registry key. The malware also checks if it\'s running in debugger mode by checking TickCount and checking if the current user belongs to a specific list to determine whether it is running in a malware sandbox environment. (Figure 2)
Figure 2. Malware will avoid execution if running under specific user names.
Now all is ready for stealing the user’s sensitive data. It collects all stolen information in a folder where each piece of data is stored in a specific folder, such as Browsers, Files, Telegram, etc. (Figure 3)
Figure 3. BlackGuard main folder with stolen data divided into folders.
When it finishes collecting sensitive data, the malware will zip the main folder using the password “xNET3301LIVE” and send it to its command & control. (Figure 4)
Figure 4. Zipping exfiltrated data with password and uploading to command & control.
Browser stealth
Along with collecting cookies, history and downloads of different browsers, BlackGuard also looks for the existence of special files and folders of different browsers. (This includes “Login Data”, AutoFill, History and Downloads. (Figure 5)
Figure 5. Collecting browser information.
Below is the list of browsers BlackGuard is looking for:
Chromium
|
Malware Tool Threat General Information | ★★★ | |
 |
2023-03-23 09:53:52 | Operation Tained Love |Les APT chinois ciblent les opérateurs de télécommunications dans de nouvelles attaques Operation Tainted Love | Chinese APTs Target Telcos in New Attacks (lien direct) |
L'acteur de Cyber Espionage déploie des logiciels malveillants de vol d'identification personnalisés dans une nouvelle campagne ciblant le secteur des télécommunications.
Cyber espionage actor deploys custom credential theft malware in new campaign targeting the telecoms sector. |
Malware | ★★★ | |
 |
2023-03-23 00:00:00 | Emballez-le secrètement: les stratégies furtives mises à jour de la Terre [Pack it Secretly: Earth Preta\\'s Updated Stealthy Strategies] (lien direct) | Après des mois d'enquête, nous avons constaté que plusieurs logiciels malveillants non divulgués et outils intéressants utilisés à des fins d'exfiltration étaient utilisés par la Terre Preta.Nous avons également observé que les acteurs de la menace modifiaient activement leurs outils, tactiques et procédures (TTP) pour contourner les solutions de sécurité.Dans cette entrée de blog, nous présenterons et analyserons les autres outils et les logiciels malveillants utilisés par l'acteur de menace.
After months of investigation, we found that several undisclosed malware and interesting tools used for exfiltration purposes were being used by Earth Preta. We also observed that the threat actors were actively changing their tools, tactics, and procedures (TTPs) to bypass security solutions. In this blog entry, we will introduce and analyze the other tools and malware used by the threat actor. |
Malware Threat Studies | ★★★ | |
 |
2023-03-23 00:00:00 | AMADEY INFO-SELECTEUR: Exploiter les vulnérabilités du jour pour lancer des informations sur le vol de logiciels malveillants [Amadey Info-Stealer: Exploiting N-Day Vulnerabilities to Launch Information Stealing Malware] (lien direct) | Le malware du voleur d'informations Amadey a été détecté sur plus de 30 clients entre août et décembre 2022, couvrant diverses régions et verticales de l'industrie.Ce blog met en évidence la résurgence des logiciels malveillants en tant que service (MAAS) et la mise à profit des vulnérabilités n-days existantes dans les campagnes de smokeloder pour lancer Amadey sur les clients des clients \\ '.Cette enquête faisait partie des travaux de recherche sur la menace continue de DarkTrace \\ dans les efforts pour identifier et contextualiser les menaces à travers la flotte de Darktrace, en s'appuyant sur les idées de l'IA grâce à une analyse humaine collaborative.
Amadey Info-stealer malware was detected across over 30 customers between August and December 2022, spanning various regions and industry verticals. This blog highlights the resurgence of Malware as a Service (MaaS) and the leveraging of existing N-Day vulnerabilities in SmokeLoader campaigns to launch Amadey on customers\' networks. This investigation was part of Darktrace\'s continuous Threat Research work in efforts to identify and contextualize threats across the Darktrace fleet, building off of AI insights through collaborative human analysis. |
Malware Threat General Information | ★★★ | |
|
2023-03-22 23:50:00 | ASEC Weekly Malware Statistics (13 mars 2023 & # 8211; 19 mars 2023) [ASEC Weekly Malware Statistics (March 13th, 2023 – March 19th, 2023)] (lien direct) | L'équipe d'analyse du centre d'intervention d'urgence (ASEC) AHNLAB utilise le système d'analyse automatique ASEC Rapit pour catégoriser et répondreaux logiciels malveillants connus.Ce message répertorie les statistiques hebdomadaires collectées du 13 mars 2023 (lundi) au 19 mars 2023 (dimanche).Pour la catégorie principale, InfostEaler s'est d'abord classé avec 43,8%, suivi de la porte dérobée avec 34,5%, du téléchargeur avec 18,7%, des ransomwares avec 1,7%, des logiciels malveillants bancaires avec 0,9% et de la co -minner avec 0,4%.Top 1 & # 8211; & # 160;Redline Redline s'est classée en première place avec 23,4%.Le malware vole ...
AhnLab Security Emergency response Center (ASEC) analysis team uses the ASEC automatic analysis system RAPIT to categorize and respond to known malware. This post will list weekly statistics collected from March 13th, 2023 (Monday) to March 19th, 2023 (Sunday). For the main category, Infostealer ranked first with 43.8%, followed by backdoor with 34.5%, downloader with 18.7%, ransomware with 1.7%, banking malware with 0.9%, and CoinMiner with 0.4%. Top 1 – Redline RedLine ranked first place with 23.4%. The malware steals... |
Ransomware Malware General Information | ★★ | |
 |
2023-03-22 23:11:08 | Google suspend l'application de commerce électronique chinois Pinduoduo sur les logiciels malveillants [Google Suspends Chinese E-Commerce App Pinduoduo Over Malware] (lien direct) | Google dit qu'il a suspendu l'application pour le géant du commerce électronique chinois Pinduoduo après que les logiciels malveillants ont été trouvés dans les versions de l'application.Cette décision intervient quelques semaines seulement après que les chercheurs en sécurité chinois ont publié une analyse suggérant que l'application populaire de commerce électronique a cherché à saisir le contrôle total des appareils affectés en exploitant plusieurs vulnérabilités de sécurité dans une variété de smartphones Android.
Google says it has suspended the app for the Chinese e-commerce giant Pinduoduo after malware was found in versions of the app. The move comes just weeks after Chinese security researchers published an analysis suggesting the popular e-commerce app sought to seize total control over affected devices by exploiting multiple security vulnerabilities in a variety of Android-based smartphones. |
Malware Studies | ★★ | |
|
2023-03-22 23:00:00 | Ransomware du Nevada distribué en Corée [Nevada Ransomware Being Distributed in Korea] (lien direct) | Ahnlab Security Emergency Response Center (ASEC) a découvert que les cas de ransomware du Nevada sont distribués au cours de l'équipe & # 8217Surveillance interne.Le Nevada est un logiciel malveillant écrit en utilisant Rust comme base et sa tendance à ajouter le & # 8220; .nevada & # 8221;L'extension des fichiers qu'il infecte est son trait déterminant.Après avoir chiffré les répertoires, il génère des notes de rançon avec le nom de fichier & # 8220; readme.txt & # 8221;Dans chaque répertoire.Ces notes contiennent un lien de navigateur TOR pour les paiements de rançon.1. Caractéristiques principales du ransomware du Nevada comme indiqué dans le ...
AhnLab Security Emergency response Center (ASEC) discovered cases of the Nevada ransomware being distributed during the team’s internal monitoring. Nevada is a malware written using Rust as its basis and its tendency of adding the “.NEVADA” extension to the files it infects is its defining trait. After encrypting directories, it generates ransom notes with the filename “README.txt” in each directory. These notes contain a Tor browser link for ransom payments. 1. Main Features of Nevada Ransomware As shown in the... |
Ransomware Malware General Information | ★★ |
To see everything:
Our RSS (filtrered)
