SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-04-26 19:12:08	Todckat APT Group Honne les tactiques d'expiltration des données, exploite les outils légitimes ToddyCat APT Group Hones Data Exfiltration Tactics, Exploits Legitimate Tools (lien direct)	#### Targeted Geolocations - Oceania - Southeast Asia - South Asia - East Asia - Central Asia #### Targeted Industries - Government Agencies & Services - Defense ## Snapshot Kaspersky reports the APT group ToddyCat has been observed targeting governmental organizations, particularly defense-related ones in the Asia-Pacific region, with the goal of stealing sensitive information on an industrial scale. ## Description They employ various tools and techniques, including traffic tunneling and the creation of reverse SSH tunnels, to maintain constant access to compromised infrastructure. The attackers utilize disguised OpenSSH private key files, execute scripts to modify folder permissions, create SSH tunnels to redirect network traffic, and employ the SoftEther VPN package to potentially facilitate unauthorized access and data exfiltration. Additionally, they use various files and techniques, such as concealing file purposes, copying files through shared resources, and tunneling to legitimate cloud providers, to gain access to victim hosts and evade detection. The threat actors initially gain access to systems by installing servers, modifying server settings, and utilizing tools like Ngrok and Krong to redirect C2 traffic and create tunnels for unauthorized access. They also employ the FRP client, a data collection tool named "cuthead", and a tool called "WAExp" to search for and collect browser local storage files containing data from the web version of WhatsApp. The attackers demonstrate a sophisticated and evolving approach to data collection and exfiltration, utilizing multiple tools and techniques to achieve their objectives. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentic	Ransomware Spam Malware Tool Threat Industrial Cloud
	2024-04-15 15:15:00	Faits saillants hebdomadaires, 15 avril 2024 Weekly OSINT Highlights, 15 April 2024 (lien direct)	## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend was the increasing use of artificial intelligence (AI) by cybercriminals, including AI-powered malvertising on social media platforms and suspected LLM-generated content in a malware campaign targeting German organizations. Additionally, several OSINT articles reported on the trend of exploiting popular platforms like YouTube and GitHub to distribute malware. Threat actors demonstrate a keen understanding of user behavior, leveraging enticing content and fake webpages to lure victims into downloading malicious payloads, highlighting the importance of proactive defense strategies to mitigate evolving threats effectively. ## Description 1. [German Organizations Targeted with Rhadamanthys Malware](https://security.microsoft.com/intel-explorer/articles/119bde85): Proofpoint identifies TA547 launching an email campaign targeting German organizations with Rhadamanthys malware, representing a shift in techniques for the threat actor. The campaign involves impersonating a German retail company in emails containing password-protected ZIP files containing LNK files triggering PowerShell scripts to load Rhadamanthys into memory, bypassing disk writing. The incorporation of suspected LLM-generated content into the attack chain provides insight into how threat actors are leveraging LLM-generated content in malware campaigns. 2. [Russian-Language Cybercrime Operation Leveraging Fake Web3 Gaming Projects](https://security.microsoft.com/intel-explorer/articles/0cdc08b5): The Insikt Group uncovers a large-scale Russian-language cybercrime operation distributing infostealer malware through fake Web3 gaming projects targeting both macOS and Windows users. Threat actors entice users with the potential for cryptocurrency earnings, distributing malware like Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys, or RisePro upon visiting imitation Web3 gaming projects\' webpages. 3. [AI-Powered Malvertising Campaigns on Social Media](https://security.microsoft.com/intel-explorer/articles/1e1b0868): Bitdefender discusses the use of artificial intelligence (AI) by cybercriminals in malvertising campaigns on social media platforms, impersonating popular AI software to distribute stealers like Rilide, Vidar, IceRAT, and Nova Stealer. These campaigns target European users through fake AI software webpages on Facebook, organized by taking over existing accounts and boosting page popularity through engaging content. 4. [Exploitation of YouTube Channels for Infostealer Distribution](https://security.microsoft.com/intel-explorer/articles/e9f5e219): AhnLab identifies a trend where threat actors exploit YouTube channels to distribute Infostealers like Vidar and LummaC2, disguising them as cracked versions of legitimate software. Attackers hijack popular channels with hundreds of thousands of subscribers, distributing malicious links through video descriptions and comments, highlighting concerns about the potential reach and impact of distributed malware. 5. [VenomRAT Distribution via Phishing Email with Malicious SVG Files](https://security.microsoft.com/intel-explorer/articles/98d69c76): FortiGuard Labs reveals a threat actor distributing VenomRAT and other plugins through phishing emails containing malicious Scalable Vector Graphics (SVG) files. The email attachment downloads a ZIP file containing an obfuscated Batch file, subsequently loading VenomRAT using ScrubCrypt to maintain a connection with a command and control (C2) server and install plugins on victims\' environments. 6. [Malware Distribution through GitHub Repositories Manipulation](https://security.microsoft.com/intel-explorer/articles/4d0ffb2c): Checkmarx reports a cybercriminal attack campaign manipulating GitHub\'s search functionality to distribute malware through repositories. Attackers create repositories with popular names and topics, hiding malicious code withi	Ransomware Spam Malware Tool Threat Prediction		★★
	2024-04-12 13:09:21	5 meilleurs plugins CAPTCHA pour les sites Web WordPress 5 Best CAPTCHA Plugins for WordPress Websites (lien direct)	> Par waqas Ici \\ est une liste mise à jour de cinq plugins CAPTCHA efficaces pour WordPress qui peuvent aider à améliorer la sécurité de votre site Web en empêchant les activités de spam et de bot: Ceci est un article de HackRead.com Lire le message original: 5 meilleurs plugins captcha pour les sites Web WordPress >By Waqas Here\'s an updated list of five effective CAPTCHA plugins for WordPress that can help enhance the security of your website by preventing spam and bot activities: This is a post from HackRead.com Read the original post: 5 Best CAPTCHA Plugins for WordPress Websites	Spam		★★
	2024-04-12 06:00:03	Arrêt de cybersécurité du mois: vaincre les attaques de création d'applications malveillantes Cybersecurity Stop of the Month: Defeating Malicious Application Creation Attacks (lien direct)	This blog post is part of a monthly series, Cybersecurity Stop of the Month, which explores the ever-evolving tactics of today\'s cybercriminals. It focuses on the critical first three steps in the attack chain in the context of email threats. The goal of this series is to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The critical first three steps of the attack chain-reconnaissance, initial compromise and persistence. So far in this series, we have examined these types of attacks:  Supplier compromise  EvilProxy   SocGholish   eSignature phishing  QR code phishing  Telephone-oriented attack delivery (TOAD)    Payroll diversion  MFA manipulation Supply chain compromise Multilayered malicious QR code attack In this post, we examine an emerging threat-the use of malicious cloud applications created within compromised cloud tenants following account takeover. We refer to it as MACT, for short. Background Cloud account takeover (ATO) attacks are a well-known risk. Research by Proofpoint found that last year more than 96% of businesses were actively targeted by these attacks and about 60% had at least one incident. Financial damages reached an all-time high. These findings are unsettling. But there is more for businesses to worry about. Cybercriminals and state-sponsored entities are rapidly adopting advanced post-ATO techniques. And they have embraced the use of malicious and abused OAuth apps. In January 2024, Microsoft revealed that a nation-state attacker had compromised its cloud environments and stolen valuable data. This attack was attributed to TA421 (aka Midnight Blizzard and APT29), which are threat groups that have been attributed to Russia\'s Foreign Intelligence Service (SVR). Attackers exploited existing OAuth apps and created new ones within hijacked cloud tenants. After the incident, CISA issued a new advisory for businesses that rely on cloud infrastructures. Proofpoint threat researchers observed attackers pivoting to the use of OAuth apps from compromised-and often verified-cloud tenants. Threat actors take advantage of the trust that\'s associated with verified or recognized identities to spread cloud malware threats as well as establish persistent access to sensitive resources. The scenario Proofpoint monitors a malicious campaign named MACT Campaign 1445. It combines a known tactic used by cloud ATO attackers with new tactics, techniques and procedures. So far, it has affected dozens of businesses and users. In this campaign, attackers use hijacked user accounts to create malicious internal apps. In tandem, they also conduct reconnaissance, exfiltrate data and launch additional attacks. Attackers use a unique anomalous URL for the malicious OAuth apps\' reply URL-a local loopback with port 7823. This port is used for TCP traffic. It is also associated with a known Windows Remote Access Trojan (RAT). Recently, Proofpoint researchers found four accounts at a large company in the hospitality industry compromised by attackers. In a matter of days, attackers used these accounts to create four distinct malicious OAuth apps. The threat: How did the attack happen? Here is a closer look at how the attack unfolded. Initial access vectors. Attackers used a reverse proxy toolkit to target cloud user accounts. They sent individualized phishing lures to these users, which enabled them to steal their credentials as well as multifactor authentication (MFA) tokens. A shared PDF file with an embedded phishing URL that attackers used to steal users\' credentials. Unauthorized access (cloud account takeover). Once attackers had stolen users\' credentials, they established unauthorized access to the four targeted accounts. They logged in to several native Microsoft 365 sign-in apps, including “Azure Portal” and “Office Home.” Cloud malware (post-access OAuth app creat	Spam Malware Tool Threat Cloud	APT 29	★★★
	2024-04-08 15:09:15	Faits saillants hebdomadaires, 8 avril 2024 Weekly OSINT Highlights, 8 April 2024 (lien direct)	Last week\'s OSINT reporting reveals several key trends emerge in the realm of cybersecurity threats. Firstly, there is a notable diversification and sophistication in attack techniques employed by threat actors, ranging from traditional malware distribution through phishing emails to advanced methods like DLL hijacking and API unhooking for evading detection. Secondly, the threat landscape is characterized by the presence of various actors, including state-sponsored groups like Earth Freybug (a subset of APT41) engaging in cyberespionage and financially motivated attacks, as well as cybercrime actors orchestrating malware campaigns such as Agent Tesla and Rhadamanthys. Thirdly, the targets of these attacks span across different sectors and regions, with organizations in America, Australia, and European countries facing significant threats. Additionally, the emergence of cross-platform malware like DinodasRAT highlights the adaptability of threat actors to target diverse systems, emphasizing the need for robust cybersecurity measures across all platforms. Overall, these trends underscore the dynamic and evolving nature of cyber threats, necessitating continuous vigilance and proactive defense strategies from organizations and cybersecurity professionals. 1. [Latrodectus Loader Malware Overview](https://sip.security.microsoft.com/intel-explorer/articles/b4fe59bf) Latrodectus is a new downloader malware, distinct from IcedID, designed to download payloads and execute arbitrary commands. It shares characteristics with IcedID, indicating possible common developers. 2. [Earth Freybug Cyberespionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/327771c8) Earth Freybug, a subset of APT41, engages in cyberespionage and financially motivated attacks since at least 2012. The attack involved sophisticated techniques like DLL hijacking and API unhooking to deploy UNAPIMON, evading detection and enabling malicious commands execution. 3. [Agent Tesla Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/cbdfe243) Agent Tesla malware targets American and Australian organizations through phishing campaigns aimed at stealing email credentials. Check Point Research identified two connected cybercrime actors behind the operation. 4. [DinodasRAT Linux Version Analysis](https://sip.security.microsoft.com/intel-explorer/articles/57ab8662) DinodasRAT, associated with the Chinese threat actor LuoYu, is a cross-platform backdoor primarily targeting Linux servers. The latest version introduces advanced evasion capabilities and is installed to gain additional footholds in networks. 5. [Rhadamanthys Information Stealer Malware](https://sip.security.microsoft.com/intel-explorer/articles/bf8b5bc1) Rhadamanthys utilizes Google Ads tracking to distribute itself, disguising as popular software installers. After installation, it injects into legitimate Windows files for data theft, exploiting users through deceptive ad redirects. 6. [Sophisticated Phishing Email Malware](https://sip.security.microsoft.com/intel-explorer/articles/abfabfa1) A phishing email campaign employs ZIP file attachments leading to a series of malicious file downloads, culminating in the deployment of PowerShell scripts to gather system information and download further malware. 7. [AceCryptor Cryptors-as-a-Service (CaaS)](https://sip.security.microsoft.com/intel-explorer/articles/e3595388) AceCryptor is a prevalent cryptor-as-a-service utilized in Rescoms campaigns, particularly in European countries. Threat actors behind these campaigns abuse compromised accounts to send spam emails, aiming to obtain credentials for further attacks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to ge	Ransomware Spam Malware Tool Threat Cloud	APT 41	★★★
	2024-04-03 13:16:25	\\ 'Les manipulaters \\' améliorer le phishing, échouent toujours à l'OPSEC \\'The Manipulaters\\' Improve Phishing, Still Fail at Opsec (lien direct)	Il y a environ neuf ans, KrebSonsecurity a décrit un groupe de cybercriminalité basé au Pakistan appelé "The Manipulaters", un réseau d'hébergement Web tentaculaire de plateformes de phishing et de livraison de spam.En janvier 2024, les manipulateurs ont plaidé avec cet auteur à publier des histoires précédentes sur leur travail, affirmant que le groupe avait remis une nouvelle feuille et était devenu légitime.Mais de nouvelles recherches suggèrent que même si elles ont amélioré la qualité de leurs produits et services, ces nitwits échouent toujours de manière spectaculaire à cacher leurs activités illégales. Roughly nine years ago, KrebsOnSecurity profiled a Pakistan-based cybercrime group called "The Manipulaters," a sprawling web hosting network of phishing and spam delivery platforms. In January 2024, The Manipulaters pleaded with this author to unpublish previous stories about their work, claiming the group had turned over a new leaf and gone legitimate. But new research suggests that while they have improved the quality of their products and services, these nitwits still fail spectacularly at hiding their illegal activities.	Spam		★★★
	2024-04-01 20:02:08	Rescoms monte des vagues de spam d'acceptor Rescoms Rides Waves of AceCryptor Spam (lien direct)	#### Description ESET Research partage des informations sur l'accryptor, l'une des Cryptors-as-a-Service les plus populaires et les plus répandues en seconde période de 2023, en mettant l'accent sur les campagnes de rescoms dans les pays européens.Même si bien connu selon les produits de sécurité, la prévalence d'Acecryptor \\ ne montre pas les indications de déclin: au contraire, le nombre d'attaques a considérablement augmenté en raison des campagnes Rescoms. L'acteur de menace derrière ces campagnes dans certains cas a abusé des comptes a compromis les comptes pour envoyer des e-mails de spam afin de les rendre aussi crédibles que possible.L'objectif des campagnes de spam était d'obtenir des titres de compétences stockés dans des navigateurs ou des clients de messagerie, ce qui, en cas de compromis réussi, ouvrirait des possibilités d'attaques supplémentaires. #### URL de référence (s) 1. https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/ #### Date de publication 20 mars 2024 #### Auteurs) Jakub Kaloč #### Description ESET research shares insights into AceCryptor, one of the most popular and prevalent cryptors-as-a-service (CaaS) in the second half of 2023, with a focus on Rescoms campaigns in European countries. Even though well known by security products, AceCryptor\'s prevalence is not showing indications of decline: on the contrary, the number of attacks significantly increased due to the Rescoms campaigns. The threat actor behind those campaigns in some cases abused compromised accounts to send spam emails in order to make them look as credible as possible. The goal of the spam campaigns was to obtain credentials stored in browsers or email clients, which in case of a successful compromise would open possibilities for further attacks. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/ #### Publication Date March 20, 2024 #### Author(s) Jakub Kaloč	Spam Threat		★★
	2024-04-01 13:51:22	Faits saillants hebdomadaires, 1er avril 2024 Weekly OSINT Highlights, 1 April 2024 (lien direct)	Last week\'s OSINT reporting reveals an array of cyber threats marked by sophisticated attack tactics and diverse targets. From malvertising campaigns deploying stealers like Rhadamanthys to the first known attack campaign targeting AI workloads, threat actors exhibit a range of attack vectors targeting both individuals and organizations. Notably, the evolution of malware such as Vultur and StrelaStealer highlights a continual arms race between attackers and defenders, with adversaries demonstrating adaptability and persistence in their pursuit of data theft and system compromise. The targeting of specific platforms like WordPress sites and email clients underscores the threat to online ecosystems, while the widespread impact across industries emphasizes the need for robust cybersecurity measures and constant vigilance against evolving threats.  1. [Go Malvertising Campaign with Rhadamanthys Stealer](https://security.microsoft.com/intel-explorer/articles/e6d270fc): A malvertising campaign had utilized a Go language loader to deploy the Rhadamanthys stealer, targeting users through a fake PuTTY homepage ad at the top of Google search results. The loader, closely linked to the malvertising infrastructure, had retrieved the payload, Rhadamanthys, which had been executed by the parent process PuTTY.exe, indicating a coordinated attack by the same threat actor.  2. [Active Attack Campaign Exploiting Ray Framework Vulnerability](https://security.microsoft.com/intel-explorer/articles/e4cd5bc2): An ongoing active attack campaign had exploited a critical vulnerability in the Ray open-source AI framework, known as ShadowRay (CVE-2023-48022), impacting thousands of companies globally. Attackers had exploited this vulnerability to take control of computing resources, steal sensitive data, and conduct cryptocurrency mining operations, demonstrating the severity of the issue and its widespread impact across industries.  3. [Evolution of Android Banking Malware Vultur](https://security.microsoft.com/intel-explorer/articles/3f7c3599): Authors behind the Android banking malware Vultur had enhanced its capabilities, including remote interaction with victim devices and encryption of C2 communication, showcasing continual development to evade detection and carry out malicious actions with greater sophistication.  4. [Agent Tesla Phishing Email Infection Chain](https://security.microsoft.com/intel-explorer/articles/5ffaa8a4): SpiderLabs had identified a phishing email leading to an infection chain deploying Agent Tesla, utilizing obfuscation, packing techniques, and polymorphic behavior to evade detection and ensure stealthy execution, posing challenges for traditional antivirus systems.  5. [Sign1 Malware Campaign Exploiting WordPress Sites](https://security.microsoft.com/intel-explorer/articles/063f7fac): Sucuri and GoDaddy Infosec had discovered the Sign1 malware campaign infecting over 2,500 WordPress sites, injecting malicious code into custom HTML widgets to redirect visitors to scam sites, demonstrating the threat to website integrity and visitor security.  6. [StrelaStealer Email Client Targeting Malware](https://security.microsoft.com/intel-explorer/articles/82785858): StrelaStealer, a malware targeting email clients to steal login data, had launched large-scale email campaigns impacting over 100 organizations, particularly targeting high-tech industries. The malware\'s evolving infection chain and updated payloads had underscored its adaptability and the challenge it had posed to security analysts and products.  ## Learn More  For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog).  Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summa	Ransomware Spam Malware Tool Vulnerability Threat Mobile Cloud		★★
	2024-03-29 18:56:16	Cloud Email Filtring Bypass Attack fonctionne 80% du temps Cloud Email Filtering Bypass Attack Works 80% of the Time (lien direct)	La majorité des entreprises qui utilisent des services de filtrage des spams de messagerie basées sur le cloud sont potentiellement à risque, grâce à une tendance rampante à les mal confier. A majority of enterprises that employ cloud-based email spam filtering services are potentially at risk, thanks to a rampant tendency to misconfigure them.	Spam Cloud		★★★★
	2024-03-25 13:28:48	Faits saillants hebdomadaires, 25 mars 2024 Weekly OSINT Highlights, 25 March 2024 (lien direct)	La semaine dernière, les rapports OSINT de \\ présentent une gamme de cyber-menaces, des campagnes d'espionnage parrainées par l'État russe par Secret Blizzard à l'infosteller malware comme Formbook et le lecteur Adobe Infosaler, démontrant l'adaptabilité et la persistance entre les acteurs de la menace.Des tactiques trompeuses telles que la typosquat et la distribution de faux logiciels sont utilisées pour le camouflage des activités et ciblent des groupes d'utilisateurs spécifiques, comme on le voit dans le cas du ciblage chinois des moteurs de recherche.De plus, le malvertising basé sur la recherche, notamment avec le malware FakeBat, met en évidence l'abus de sites Web légitimes et de certificats numériques pour échapper aux mesures de sécurité.Dans l'ensemble, ces tendances soulignent la nécessité de mesures de cybersécurité robustes et de l'intelligence continue des menaces pour atténuer efficacement les menaces en évolution. 1. [Campagne d'espionnage de Turla] (https://security.microsoft.com/intel-explorer/articles/bf6723e9?): Le groupe d'espionnage russe Turla, également connu sous le nom de Blizzard secret par Microsoft, orchestraciblant une ONG européenne, employant des tactiques comme le vol d'information et l'infiltration du réseau.Les activités post-compromises de Turla \\ impliquent le déploiement d'implants comme Tinyturla-ng et la reconnaissance de la reconnaissance, la démonstration de persistance et de furtivité dans leurs opérations. 2. [Linux Server RCE Attack] (https://security.microsoft.com/intel-explorer/articles/9b8f807f?): Cybereason Security Services rapporte un incident impliquant un serveur Linux exploité via une exécution de code distante (RCE) Vulnérabilité dans Apache ActiveMQ, facilitant le déploiement de VADes charges utiles malveillantes comme Mirai Botnet, Hellokitty Ransomware et Coinminers.Attaquer les méthodologiesClude l'automatisation et les séances interactives via les coquilles inversées de Netcat, mettant en évidence le divers arsenal des acteurs de la menace et leurs tactiques adaptables. 3. [Formbook InfoSteller Malware] (https://security.microsoft.com/intel-explorer/articles/7b321c6c?): Formbook, un logiciel malveillant infoséaler, présente des capacités avancées comme le suivi de la touche et la capture de l'écran, pendant l'évasion de l'évasion, comme le suivi des touches de touche et la capture d'écran, pendant l'évadisation, toutDétection par des techniques d'obscurcissement et de chiffrement.Les cybercriminels distribuent Formbook par courrier électronique, avec des cas d'utilisation notés lors des conflits géopolitiques, soulignant sa flexibilité et sa menace persistante. 4. [Ciblage de moteurs de recherche chinois] (https://security.microsoft.com/intel-explorer/articles/5a806c77?): Kaspersky découvre une menace ciblant les utilisateurs chinois via des versions modifiées de rédacteurs de texte populaires distribués via le type typosquattinget d'autres techniques trompeuses, soulignant les acteurs de la menace \\ 'efforts pour imiter les ressources légitimes à des fins malveillantes. 5. [Phantomblu Malware Campaign] (https://security.microsoft.com/intel-explorer/articles/356f4d44?): Perception Point révèle la campagne Phantomblu ciblant les organisations américaines avec le rat Netsupport, l'utilisation de la campagne avancée AdvanceLes tactiques d'évasion comme la manipulation des modèles OLE et l'ingénierie sociale pour compromettre efficacement les systèmes, présentant une évolution des stratégies de livraison de logiciels malveillants mélangeant l'évasion et l'ingénierie sociale. 6. [Surge malvertising basé sur la recherche] (https://security.microsoft.com/intel-explorer/articles/7cc81ecb?): MalwareBytes rapporte une augmentation des incidents malvertisons basés sur la recherche, impliquant notamment le malware FakeBat malveillant FakeBat.Distribué par le biais des installateurs de MSIX avec le code PowerShell obsc	Ransomware Spam Malware Tool Vulnerability Threat		★★★
	2024-03-25 10:00:00	Décodage des implications de cybersécurité de l'avancement rapide de l'AI \\ Decoding the Cybersecurity Implications of AI\\'s Rapid Advancement (lien direct)	The genius at the heart of AI—its ability to sift through mountains of data, actually spot a needle in a haystack, and act on threats before they blossom into full-scale emergencies—it’s undeniable. However, here’s the rub—every part of that impressive arsenal? It’s also up for grabs by the other side, and can (and will) arm them to launch attacks of unprecedented sophistication and elusiveness, the likes of which we’ve thankfully never seen up to now. How do we wield this impressive technology to fortify our defenses, while preventing it from falling into the wrong hands? Can such a thing even be accomplished? Join me below as we take a closer look at how AI’s rapid rise is changing the landscape of cybersecurity. AI as a Defense Tool AI is a reliable navigator for charting the digital deluge—it has the ability to handle vast quantities of information rapidly on a level that no human could ever hope to match. It doesn’t take a huge leap to come to the conclusion that those capabilities can very easily be leveraged for defense. Automated Threat Detection Think of AI as the ever-watchful eye, tirelessly scanning the horizon for signs of trouble in the vast sea of data. Its capability to detect threats with speed and precision beyond human ken is our first line of defense against the shadows that lurk in the network traffic, camouflaged in ordinary user behavior, or embedded within the seemingly benign activities of countless applications. AI isn’t just about spotting trouble; it’s about understanding it. Through machine learning, it constructs models that learn from the DNA of malware, enabling it to recognize new variants that bear the hallmarks of known threats. This is akin to recognizing an enemy’s tactics, even if their strategy evolves. All of what I’ve said also here applies to incident response—with AI’s ability to automatically meet threats head-on making a holistic cybersecurity posture both easier to achieve and less resource-intensive for organizations of all sizes. Predictive Analytics By understanding the patterns and techniques used in previous breaches, AI models can predict where and how cybercriminals might strike next. This foresight enables organizations to reinforce their defenses before an attack occurs, transforming cybersecurity from a reactive discipline into a proactive strategy that helps prevent breaches rather than merely responding to them. The sophistication of predictive analytics lies in its use of diverse data sources, including threat intelligence feeds, anomaly detection reports, and global cybersecurity trends. This comprehensive view allows AI systems to identify correlations and causations that might elude human analysts. Phishing Detection and Email Filtering AI has stepped up as a pivotal ally in the ongoing skirmish against phishing and other forms of social engineering attacks, which too often lay the groundwork for more invasive security breaches. Through meticulous analysis of email content, context, and even the	Spam Tool Vulnerability Threat Prediction Technical	Deloitte	★★
	2024-03-25 07:32:16	Les nouveaux résultats de recherche sur l'IA de Google favorisent les sites poussant des logiciels malveillants, des escroqueries Google\\'s new AI search results promotes sites pushing malware, scams (lien direct)	Les nouveaux algorithmes de la recherche de recherche \\ 'de Google \' de Google recommandent des sites d'arnaque qui redirigent les visiteurs vers des extensions de chrome indésirables, de faux cadeaux iPhone, des abonnements de spam de navigateur et des escroqueries de support technologique.[...] Google\'s new AI-powered \'Search Generative Experience\' algorithms recommend scam sites that redirect visitors to unwanted Chrome extensions, fake iPhone giveaways, browser spam subscriptions, and tech support scams. [...]	Spam Malware Mobile		★★
	2024-03-22 19:38:00	Les nouveaux attaques de phishing de Strelasnealer ont frappé plus de 100 organisations en U.et nous. New StrelaStealer Phishing Attacks Hit Over 100 Organizations in E.U. and U.S. (lien direct)	Les chercheurs en cybersécurité ont détecté une nouvelle vague d'attaques de phishing qui visent à livrer un voleur d'informations en constante évolution appelé & nbsp; strelalastealer. Les campagnes ont un impact sur plus de 100 organisations de l'UE.Et les États-Unis, les chercheurs de l'unité 42 de Palo Alto Networks ont déclaré dans un nouveau rapport publié aujourd'hui. "Ces campagnes se présentent sous la forme d'e-mails de spam avec des pièces jointes qui finissent par Cybersecurity researchers have detected a new wave of phishing attacks that aim to deliver an ever-evolving information stealer referred to as StrelaStealer. The campaigns impact more than 100 organizations in the E.U. and the U.S., Palo Alto Networks Unit 42 researchers said in a new report published today. "These campaigns come in the form of spam emails with attachments that eventually	Spam		★★★
	2024-03-22 12:21:34	L'accryptor attaque la montée en puissance en Europe & # 8211;Semaine en sécurité avec Tony Anscombe AceCryptor attacks surge in Europe – Week in security with Tony Anscombe (lien direct)	La seconde moitié de 2023 a connu une croissance massive des logiciels malveillants bourrés d'accompagnement sur les acanprètes dans la nature, y compris gracieuseté de plusieurs campagnes de spam où l'acceptor a emballé le Rat Rat The second half of 2023 saw massive growth in AceCryptor-packed malware spreading in the wild, including courtesy of multiple spam campaigns where AceCryptor packed the Rescoms RAT	Spam Malware		★★
	2024-03-20 10:30:00	Rescoms monte des vagues de spam d'acceptor Rescoms rides waves of AceCryptor spam (lien direct)	Aperçu des statistiques de télémétrie ESET sur l'accryptor dans H2 2023 en mettant l'accent sur les campagnes de rescoms dans les pays européens Insight into ESET telemetry statistics about AceCryptor in H2 2023 with a focus on Rescoms campaigns in European countries	Spam		★★
	2024-03-18 13:23:03	Faits saillants hebdomadaires OSINT, 18 mars 2024 Weekly OSINT Highlights, 18 March 2024 (lien direct)	## Weekly OSINT Highlights, 18 March 2024 Last week\'s OSINT reporting revealed a common theme: cyberattacks targeting specific user groups are becoming more sophisticated. Take, for instance, the Notion installer malware, which dupes users by posing as a legitimate software installer, showcasing adept social engineering. Similarly, the BIPClip campaign demonstrates a highly targeted approach towards developers involved in cryptocurrency projects, with the threat actors leveraging multiple open-source packages to steal sensitive mnemonic phrases. Despite distinct attack methods, both instances underscore threat actors\' adaptability in tailoring attacks to their targets. Additionally, the analysis highlights a growing trend where attackers focus on specific sectors or user demographics, indicating a shift towards more targeted and stealthy cyber threats rather than indiscriminate attacks. This trend underscores the importance of user vigilance and the necessity for industry-specific cybersecurity measures to mitigate evolving risks. 1. [Notion Installer Malware](https://security.microsoft.com/intel-explorer/articles/f21ac4ec?): A new MSIX malware posing as the Notion installer is distributed through a fake website resembling the official Notion homepage. The malware, signed with a valid certificate, infects Windows PCs when users attempt to install Notion, compromising their systems with malware. 2. [BIPClip Crypto Wallet Theft Campaign](https://security.microsoft.com/intel-explorer/articles/21aa5484?): ReversingLabs uncovered the BIPClip campaign, which utilizes seven open-source packages across 19 versions from PyPI to steal mnemonic phrases for crypto wallet recovery. The campaign targets developers involved in cryptocurrency wallet projects, particularly those implementing Bitcoin Improvement Proposal 39 (BIP39), and employs sophisticated methods to avoid detection. The BIPClip campaign underscores how crypto assets are one of the most popular targets of cybercriminal groups and other threat actors, such as North Korean APTs. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Tool Profile: [Information stealers](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) - [Financially motivated threat actors misusing App Installer](https://security.microsoft.com/intel-explorer/articles/74368091?) ## Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-sec	Ransomware Spam Malware Tool Threat Prediction		★★★
	2024-03-07 10:00:53	Spam et phishing en 2023 Spam and phishing in 2023 (lien direct)	Ce rapport contient des statistiques de spam et de phishing pour 2023, ainsi que des descriptions des principales tendances, parmi ces intelligences artificielles, le phishing instantané et les attaques de BEC multilingues. This report contains spam and phishing statistics for 2023, along with descriptions of the main trends, among these artificial intelligence, instant messaging phishing, and multilingual BEC attacks.	Spam Studies		★★★★
	2024-03-06 01:05:06	Faits saillants hebdomadaires d'osint, 4 mars 2024 Weekly OSINT Highlights, 4 March 2024 (lien direct)	## Weekly OSINT Highlights, 4 March 2024 Ransomware loomed large in cyber security research news this week, with our curated OSINT featuring research on Abyss Locker, BlackCat, and Phobos. Phishing attacks, information stealers, and spyware are also in the mix, highlighting the notable diversity in the cyber threat landscape. The OSINT reporting this week showcases the evolving tactics of threat actors, with operators increasingly employing multifaceted strategies across different operating systems. Further, the targets of these attacks span a wide range, from civil society figures targeted by spyware in the Middle East and North Africa to state and local governments victimized by ransomware. The prevalence of attacks on sectors like healthcare underscores the significant impact on critical infrastructure and the potential for substantial financial gain through ransom payments. 1. [Abyss Locker Ransomware Evolution and Tactics](https://ti.defender.microsoft.com/articles/fc80abff): Abyss Locker ransomware, derived from HelloKitty, exfiltrates victim data before encryption and targets Windows systems, with a subsequent Linux variant observed. Its capabilities include deleting backups and employing different tactics for virtual machines, indicating a growing sophistication in ransomware attacks. 2. [ALPHV Blackcat Ransomware-as-a-Service (RaaS):](https://ti.defender.microsoft.com/articles/b85e83eb) The FBI and CISA warn of ALPHV Blackcat RaaS, which targets multiple sectors, particularly healthcare. Recent updates to ALPHV Blackcat include improved defense evasion, encryption capabilities for Windows and Linux, reflecting the increasing sophistication in ransomware operations. 3. [Phobos RaaS Model](https://ti.defender.microsoft.com/articles/ad1bfcb4): Phobos ransomware, operating as a RaaS model, frequently targets state and local governments. Its use of accessible open-source tools enhances its popularity among threat actors, emphasizing the ease of deployment and customization for various environments. 4. [TimbreStealer Phishing Campaign](https://ti.defender.microsoft.com/articles/b61544ba): Talos identifies a phishing campaign distributing TimbreStealer, an information stealer disguised as Mexican tax-related themes. The threat actor was previously associated with banking trojans, underscoring the adaptability and persistence of malicious actors. 5. [Nood RAT Malware Features and Stealth](https://ti.defender.microsoft.com/articles/cc509147): ASEC uncovers Nood RAT, a Linux-based variant of Gh0st RAT, equipped with encryption and disguised as legitimate software. The malware\'s flexibility in binary creation and process naming underscores the threat actor\'s intent to evade detection and carry out malicious activities with sophistication. 6. [Predator Spyware Infrastructure and Targeting](https://ti.defender.microsoft.com/articles/7287eb1b): The Insikt Group\'s discovery highlights the widespread use of Predator spyware, primarily targeting journalists, politicians, and activists in various countries. Despite its purported use for counterterrorism and law enforcement, Predator is employed by threat actors outside these contexts, posing significant privacy and safety risks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following	Ransomware Spam Malware Tool Threat Legislation Medical		★★★★
	2024-02-27 20:31:31	La campagne Timbrester cible les utilisateurs mexicains avec des leurres financiers TimbreStealer Campaign Targets Mexican Users with Financial Lures (lien direct)	#### Description Talos a observé une campagne de spam de phishing ciblant les victimes potentielles au Mexique, attirant les utilisateurs à télécharger un nouveau voleur d'informations obscurcis Talos appelle Timbrester, qui est actif depuis au moins novembre 2023. Il contient plusieurs modules intégrés utilisés pour l'orchestration, le décryptage et la protection dele malware binaire. Cet acteur de menace a été observé distribuant Timbrester via une campagne de spam utilisant des thèmes mexicains liés à l'impôt à partir du moins en novembre 2023. L'acteur de menace a déjà utilisé des tactiques, des techniques et des procédures similaires (TTPS) pour distribuer un trojan bancaire connu sous le nom de «Mispadu». #### URL de référence (s) 1. https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/ #### Date de publication 27 février 2024 #### Auteurs) Guilherme Veree Jacob Finn Tucker Favreau Jacob Stanfill James Nutland #### Description Talos has observed a phishing spam campaign targeting potential victims in Mexico, luring users to download a new obfuscated information stealer Talos is calling TimbreStealer, which has been active since at least November 2023. It contains several embedded modules used for orchestration, decryption and protection of the malware binary. This threat actor was observed distributing TimbreStealer via a spam campaign using Mexican tax-related themes starting in at least November 2023. The threat actor has previously used similar tactics, techniques and procedures (TTPs) to distribute a banking trojan known as “Mispadu.” #### Reference URL(s) 1. https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/ #### Publication Date February 27, 2024 #### Author(s) Guilherme Venere Jacob Finn Tucker Favreau Jacob Stanfill James Nutland	Spam Malware Threat		★★
	2024-02-27 12:57:00	Resurrecads attaque les noms de marque de détournement, répartit le spam via \\ 'subdomalie \\' ResurrecAds Attack Hijacks Brand Names, Spreads Spam Via \\'SubdoMailing\\' (lien direct)	par deeba ahmed Alerte de détournement de marque: Guardio révèle des acteurs malveillants utilisant des marques de confiance pour le phishing. Ceci est un article de HackRead.com Lire le post original: Resurrecads Attaque les noms de marque des hijacks, répartit le spam via & # 8216; subdomalie & # 8217; By Deeba Ahmed Brand Hijacking Alert: Guardio Reveals Malicious Actors Using Trusted Brands for Phishing. This is a post from HackRead.com Read the original post: ResurrecAds Attack Hijacks Brand Names, Spreads Spam Via ‘SubdoMailing’	Spam		★★
	2024-02-26 19:40:00	Plus de 8 000 sous-domaines de marques de confiance détournées pour une opération de spam massive 8,000+ Subdomains of Trusted Brands Hijacked for Massive Spam Operation (lien direct)	Plus de 8 000 sous-domaines appartenant à des marques et des institutions légitimes ont été détournés dans le cadre d'une architecture de distribution sophistiquée pour la prolifération des spams et la monétisation des clics. Guardio Labs suit l'activité malveillante coordonnée, qui se poursuit depuis au moins septembre 2022, sous le nom de subomnéraire.Les e-mails vont des "Alertes de livraison de colis contrefaçon More than 8,000 subdomains belonging to legitimate brands and institutions have been hijacked as part of a sophisticated distribution architecture for spam proliferation and click monetization. Guardio Labs is tracking the coordinated malicious activity, which has been ongoing since at least September 2022, under the name SubdoMailing. The emails range from "counterfeit package delivery alerts	Spam		★★★
	2024-02-23 02:02:05	Ascroqueries en ligne: êtes-vous à l'abri des imitations, des menaces et des tromperies? Online Scams: Are You Safe From Impersonations, Threats, and Deceptions? (lien direct)	Nos vies sont connectées au monde numérique qui nous fournit de nombreux services publics et divertissements, mais parfois il se présentenous avec des rencontres indésirables.Les fraudes et escroqueries en ligne sont des exemples de telles rencontres.Les vagues d'e-mails de spam publicitaires commerciaux que nous recevons ne sont pas très dérangeants, mais les escroqueries en ligne sont plutôt très sérieuses.L'escroquerie en ligne est une cybercriminalité grave qui inflige des dommages à long terme financièrement et psychologiquement, et laisse d'énormes cicatrices aux victimes & # 8217;vies.Lorsque les entreprises sont affectées ... Our lives are connected to the digital world that provides us with numerous utilities and entertainment, but sometimes it presents us with undesirable encounters. Online frauds and scams are examples of such encounters. Waves of commercial advertisement spam emails we receive are not much of a bother, but online scams are rather very serious. Online scamming is a serious cybercrime that inflicts long-term damage both financially and psychologically, and leaves tremendous scars on the victims’ lives. When companies are affected...	Spam Commercial		★★
	2024-02-21 11:31:00	Les pirates russes ciblent l'Ukraine avec une désinformation et des attaques de récolte des informations d'identification Russian Hackers Target Ukraine with Disinformation and Credential-Harvesting Attacks (lien direct)	Les chercheurs en cybersécurité ont découvert une nouvelle opération d'influence ciblant l'Ukraine qui tire parti des e-mails de spam pour propager la désinformation liée à la guerre. L'activité a été liée aux acteurs des menaces alignées par la Russie par la société de cybersécurité slovaque ESET, qui a également identifié une campagne de phisces de lance destinée à une entreprise de défense ukrainienne en octobre 2023 et une agence de l'Union européenne en novembre 2023 Cybersecurity researchers have unearthed a new influence operation targeting Ukraine that leverages spam emails to propagate war-related disinformation. The activity has been linked to Russia-aligned threat actors by Slovak cybersecurity company ESET, which also identified a spear-phishing campaign aimed at a Ukrainian defense company in October 2023 and a European Union agency in November 2023	Spam Threat		★★
	2024-02-16 20:41:12	SNS Sender \| Active Campaigns Unleash Messaging Spam Through the Cloud (lien direct)	#### Description Les chercheurs de Sentinelone ont découvert un nouveau script Python appelé SNS Sender qui utilise AWS Simple Notification Service (SNS) pour envoyer des messages SMS en vrac dans le but de spammer des liens de phishing, également connus sous le nom de swishing. Il s'agit du premier script observé à l'aide d'AWS SNS, et on pense que l'acteur derrière cet outil utilise des services cloud pour envoyer des messages de phishing SMS en vrac.L'auteur du script est connu par l'alias Arduino_Das et est prolifique dans la scène du kit Phish. Le script nécessite une liste de liens de phishing nommés links.txt dans son répertoire de travail.SNS Sender prend également plusieurs arguments entrés en entrée: un fichier texte contenant une liste de clés d'accès AWS, de secrets et de région délimitées par un côlon;un fichier texte contenant une liste de numéros de téléphone à cibler;un ID de l'expéditeur, similaire à un nom d'affichage pour un message;et le contenu du message.Le script remplace toutes les occurrences de la chaîne dans la variable de contenu du message par une URL du fichier links.txt, qui arme le message en tant que SMS de phishing.L'acteur derrière cet outil a été lié à de nombreux kits de phishing utilisés pour cibler les victimes \\ 'Informations personnellement identifiables (PII) et les détails de la carte de paiement sous le couvert d'un message de laUnited States Postal Service (USPS) concernant une livraison de colis manquée. #### URL de référence (s) 1. https://www.sentinelone.com/labs/sns-sender-active-campaignes-se détendre #### Date de publication 15 février 2024 #### Auteurs) Alex Delamotte #### Description SentinelOne researchers have discovered a new Python script called SNS Sender that uses AWS Simple Notification Service (SNS) to send bulk SMS messages for the purpose of spamming phishing links, also known as Smishing. This is the first script observed using AWS SNS, and it is believed that the actor behind this tool is using cloud services to send bulk SMS phishing messages. The script author is known by the alias ARDUINO_DAS and is prolific in the phish kit scene. The script requires a list of phishing links named links.txt in its working directory. SNS Sender also takes several arguments that are entered as input: a text file containing a list of AWS access keys, secrets, and region delimited by a colon; a text file containing a list of phone numbers to target; a sender ID, similar to a display name for a message; and the message content. The script replaces any occurrences of the string in the message content variable with a URL from the links.txt file, which weaponizes the message as a phishing SMS. The actor behind this tool has been linked to many phishing kits used to target victims\' personally identifiable information (PII) and payment card details under the guise of a message from the United States Postal Service (USPS) regarding a missed package delivery. #### Reference URL(s) 1. https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/ #### Publication Date February 15, 2024 #### Author(s) Alex Delamotte	Spam Tool Cloud		★★★
	2024-02-15 13:55:32	Expéditeur SNS \|Les campagnes actives déchaînent le spam de messagerie à travers le cloud SNS Sender \| Active Campaigns Unleash Messaging Spam Through the Cloud (lien direct)	Les acteurs de la menace tirent parti des services cloud pour mener une campagne de smishing massive via un service de notification simple AWS. Threat actors leverage cloud services to conduct massive smishing campaign through AWS Simple Notification Service.	Spam Threat Cloud		★★★
	2024-02-10 22:35:42	Ce malware Android s'exécute automatiquement et peut voler des données sensibles This Android Malware Runs Automatically And Can Steal Sensitive Data (lien direct)	Les chercheurs en cybersécurité de McAfee ont découvert qu'une version mise à jour du malware Android, Xloader, peut se lancer automatiquement sur les smartphones Android infectés après l'installation sans avoir besoin d'une interaction utilisateur. xloader, également connu sous le nom de Moqhao, est une souche malveillante qui est probablement créée par un acteur de menace motivé financièrement appelé & # 8216; Roaming Mantis \\ '. Ce malware est principalement distribué via des liens URL raccourcis dans les messages texte sur les appareils Android, qui, lorsqu'il est cliqué, vous redirige vers un site Web pour télécharger un fichier d'installation Android APK pour une application mobile. Cela permet aux logiciels malveillants de s'exécuter silencieusement en arrière-plan et d'extraire des informations personnelles et privées à partir d'appareils compromis, y compris des métadonnées de l'appareil, des photos, des messages texte, des listes de contacts, des numéros spécifiques d'appel avec un mode silencieux et des informations potentiellement bancaires, entre autres choses. & # 8220; Moqhao typique oblige les utilisateurs à installer et à lancer l'application pour obtenir leur objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution.Pendant que l'application est installée, leur activité malveillante commence automatiquement, & # 8221;Explique McAfee, un partenaire Android App App Defence Alliance, Dans un rapport publié cette semaine . & # 8220; Nous avons déjà signalé cette technique à Google et ils travaillent déjà sur la mise en œuvre d'atténuations pour empêcher ce type d'exécution automatique dans une future version Android. & # 8221; Afin de tromper l'utilisateur, le malware se déguise en application légitime, faisant souvent semblant d'être le navigateur Web Google Chrome.Il utilise des chaînes Unicode dans les noms d'applications pour l'obscurcissement, qui lui permet ensuite de rechercher des autorisations risquées sur l'appareil, comme l'envoi et l'accès au contenu SMS, et pour toujours s'exécuter en arrière. De plus, la fausse application Chrome demande également aux utilisateurs s'ils souhaitent le définir en tant qu'application SMS par défaut sous le prétexte que cela aidera à empêcher le spam. En outre, le malware utilise également des messages de phishing, dont le contenu est extrait du champ bio (ou description) à partir de profils frauduleux Pinterest, qui sont ensuite envoyés aux smartphones infectés pour échapper à la détection par le logiciel antivirus. Si le malware n'est pas en mesure d'accéder à Pinterest, il utilise alors des messages de phishing codés en dur qui informent les victimes potentielles qu'il y a quelque chose de louche avec leur compte bancaire et qu'ils doivent prendre des mesures immédiates. Les chercheurs de McAfee \\ ont noté que certains messages contextuels malveillants demandaient des autorisations en anglais, coréen, français, japonais, allemand et hindi, ce qui indique également des cibles actuelles de Xloader.Ils croient qu'en plus du Japon, le malware cible également les utilisateurs d'Android en Corée du Sud, en France, en Allemagne et en Inde. Pour rester protégé contre les logiciels malveillants Xloader, il est conseillé aux utilisateurs de ne pas lacharger les applications ou d'ouvrir des URL courtes dans les messages texte et d'être très prudents tout en accordant des autorisations aux applications qu'ils installent.Limitez également le nombre d'applications installées sur votre téléphone Android et installez les applications uniquement à partir de développeurs réputés. En outre, activez Google Play Protect sur votre smartphone Android afin	Spam Malware Threat Mobile		★★★
	2024-02-06 11:00:00	AI en cybersécurité: 8 cas d'utilisation que vous devez connaître AI in Cybersecurity: 8 use cases that you need to know (lien direct)	The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. Cybercriminals live on the cutting edge of technology, and nothing fits the label more than artificial intelligence. It helps them design sophisticated, evolving malware, pose as higher-ups, and even successfully imitate biometrics like one’s voice. The use of AI in cyber security has developed as a natural response to these new and unpredictable challenges. How are cyber security experts using artificial intelligence to thwart the bad guys? The following eight use cases will tell you all you need to know. 1. Threat prevention and preemption It\'s not uncommon for businesses and organizations to be under persistent attack. Cyber threats can burrow deep into their networks and spread chaos for months before detection. Since AI models have large datasets of past behaviors to draw on, they can spot anomalous behavior far more quickly. Preventing attacks before deployment is among cyber security’s most desirable goals. If you have the right information, it can become a reality. For example, a cybersecurity team can use a proxy network to regularly scrape the contents of forums and other sites dedicated to hacking. They may then act on the gathered info and meet future attacks head-on. 2. Timely incident response Not even an AI-enhanced cybersecurity framework can stop all incoming attacks. Someone might connect an unsanctioned device, or an update might contain malicious code. Either way, a robust cyber security AI can respond to such incidents promptly, blocking or deleting the offending actors. 3. Data protection Data is the basis on which modern economies operate. Whether you obtain it through web scraping API, surveys, as part of your day-to-day operations, etc., the data you collect needs powerful safeguards. AI can help by classifying and automatically encrypting it. Access control is another process you can automate, as is compliance with data protection laws like the GDPR.	Spam Malware Tool Threat		★★
	2024-02-01 14:00:51	L'IA générative est la fierté des services de cybercriminalité Generative AI is the Pride of Cybercrime Services (lien direct)	> Les cybercriminels utilisent officiellement l'IA génératrice pour les campagnes de spam, les services d'identité et les services de vérification des médias sociaux: & # 8211;L'IA générative en tant qu'outil de cybercriminalité: les cybercriminels utilisent de plus en plus l'IA génératrice pour les cybercrimes sophistiqués, notamment une usurpation d'identité des médias sociaux, des campagnes de spam et des services de vérification KYC.& # 8211;Plateformes de chamage noir alimenté par AI: la montée des plateformes axées sur l'IA pour créer et gérer de faux comptes de médias sociaux, offrant des services pour automatiser la génération de contenu et l'activité des comptes à des fins illicites.& # 8211;Évolution des fraudes du spam et de KYC: l'intégration de l'IA dans les services de spam pour contourner les contrôles de sécurité et dans les services de vérification KYC pour créer de faux documents d'identification, ce qui signifie un nouveau niveau de [& # 8230;] >Cybercriminals Officially Utilize Generative AI for Spam Campaigns, Social Media Impersonation and Verification Services Highlights: – Generative AI as a Cybercrime Tool: Cybercriminals are increasingly using generative AI for sophisticated cybercrimes, including social media impersonation, spam campaigns, and KYC verification services. – AI-Powered Black-Hat Platforms: The rise of AI-driven platforms for creating and managing fake social media accounts, offering services to automate content generation and account activity for illicit purposes. – Evolution of Spam and KYC Frauds: The integration of AI in spam services to bypass security controls and in KYC verification services for creating fake identification documents, signifying a new level of […]	Spam Tool		★★★
	2024-01-30 05:00:16	Mémoire de sécurité: \\ 'c'est la saison de Tax Hax Security Brief: \\'Tis the Season for Tax Hax (lien direct)	Ce qui s'est passé Les chercheurs de ProofPoint ont récemment identifié le retour de TA576, un acteur de menace cybercriminale qui utilise des leurres sur le thème de la taxe ciblant spécifiquement les organisations comptables et financières.Cet acteur n'est généralement actif que les premiers mois de l'année pendant la saison fiscale des États-Unis, ciblant généralement les organisations en Amérique du Nord avec des campagnes de messagerie à faible volume.Dans toutes les campagnes, l'acteur par e-mail des demandes d'aide à la préparation des revenus et tentera de livrer des chevaux de Troie à distance (rats). Dans les deux premières campagnes observées en janvier 2024, l'acteur a utilisé un compte compromis pour envoyer des e-mails bénins censés demander une assistance fiscale.Bien que le compte de l'expéditeur ait été compromis, les e-mails comportaient une adresse de réponse avec un domaine récemment enregistré qui appartient probablement à l'acteur de menace.L'acteur de menace a fourni une trame de fond et a demandé des prix et une disponibilité.Si la cible a répondu, l'acteur de menace a répondu par une URL malveillante Google Firebase (Web.App). Lyure sur le thème des impôts utilisé par TA576. Si l'URL était cliquée, elle redirigea vers le téléchargement d'un fichier de raccourci zippé (LNK).Si ce raccourci était exécuté, il a exécuté PowerShell encodé via l'injection SyncappvpublishingServer.vbs lolbas.La commande PowerShell a lancé MSHTA pour exécuter la charge utile de l'application HTML (HTA) à partir d'une URL fournie.Vivant des techniques de binaires terrestres, scripts et bibliothèques (lolbas) devient de plus en plus populaire parmi les menaces cybercriminales. Exemple de cible de raccourci. Le code prend une séquence de valeurs numériques, soustrait un nombre de chacun (dans ce cas 593), et convertit chaque résultat en un caractère utilisant le casting de type [char], et concaténe les caractères en une chaîne stockée dans la variable $ k.Fait intéressant, le nombre soustrait diffère du raccourci au raccourci. La charge utile HTA a exécuté une commande PowerShell à AES Decrypt et décompresser une autre commande qui a téléchargé un exécutable dans le dossier% AppData% et l'a exécuté.Cette technique est similaire à celle précédemment documentée par SANS ISC.L'exécutable de la campagne TA576 a utilisé la technique d'évasion de la "porte du ciel" pour exécuter Parallax Rat. Résumé de la chaîne d'attaque: Message bénigne> Réponse cible> Réponse de l'acteur avec web.app URL> Redirection> zip> lnk> syncappvpublishingServer.vbs lolbas> PowerShell> mshta exécute HTA à partir de l'URL> PowerShell cryptée> Obfuscated PowerShell> Télécharger et exécuter l'exe exe Les campagnes de 2024 de TA576 \\ sont notables car il s'agit du premier point de preuve a observé que l'acteur livrant Parallax Rat.De plus, la chaîne d'attaque de l'acteur \\ à l'aide de techniques LOLBAS et de plusieurs scripts PowerShell est nettement différente des campagnes précédemment observées qui ont utilisé des URL pour zipper les charges utiles JavaScript ou des documents Microsoft Word en macro. Attribution TA576 est un acteur de menace cybercriminale.ProofPoint a suivi TA576 depuis 2018 via des techniques de création de courriels de spam, une utilisation des logiciels malveillants, des techniques de livraison de logiciels malveillants et d'autres caractéristiques.Cet acteur utilise des leurres d'impôt contenant des caractéristiques et des thèmes similaires pendant la saison fiscale américaine pour livrer et installer des rats.Les objectifs de suivi de Ta576 \\ sont inconnus.Bien que les secteurs les plus fréquemment observés ciblés incluent les entités comptables et financières, Proof Point a également observé le ciblage des industries connexes telles que le légal. Pourquoi est-ce important Les campagnes annuelles sur le thème de l'impôt de TA576 \\ servent de rappel récurrent que les acteurs des menaces de cybercri	Spam Malware Threat Prediction		★★
	2024-01-25 11:00:00	Le côté obscur de la cybersécurité 2023: évolution des logiciels malveillants et cyber-menaces The dark side of 2023 Cybersecurity: Malware evolution and Cyber threats (lien direct)	In the ever-evolving cybersecurity landscape, 2023 witnessed a dramatic surge in the sophistication of cyber threats and malware. AT&T Cybersecurity Alien Labs reviewed the big events of 2023 and how malware morphed this year to try new ways to breach and wreak havoc. This year\'s events kept cybersecurity experts on their toes, from expanding malware variants to introducing new threat actors and attack techniques. Here are some of the most compelling developments, highlighting malware\'s evolving capabilities and the challenges defenders face. Highlights of the year: Emerging trends and notable incidents As the year unfolded, several trends and incidents left an indelible mark on the cybersecurity landscape: Exploiting OneNote for malicious payloads Cybercriminals leveraged Microsoft OneNote to deliver many malicious payloads to victims, including Redline, AgentTesla, Quasar RAT, and others. This previously underutilized Office program became a favored tool due to its low suspicion and widespread usage. SEO poisoning and Google Ads Malicious actors resorted to SEO poisoning tactics, deploying phishing links through Google Ads to deceive unsuspecting victims. These links led to cloned, benign web pages, avoiding Google\'s detection and remaining active for extended periods. Prominent malware families, including Raccoon Stealer and IcedID, capitalized on this strategy. Exploiting geopolitical events Cybercriminals exploited the geopolitical climate, particularly the Middle East conflict, as a lure for their attacks. This trend mirrored the previous year\'s Ukraine-related phishing campaigns and crypto scams. APTs: State-sponsored espionage continues to present challenges Advanced Persistent Threats (APTs) continued to pose a significant threat in 2023: Snake: CISA reported on the Snake APT, an advanced cyber-espionage tool associated with the Russian Federal Security Service (FSB). This malware had been in use for nearly two decades. Volt Typhoon: A campaign targeting critical infrastructure organizations in the United States was attributed to Volt Typhoon, a state-sponsored actor based in China. Their focus lay on espionage and information gathering. Storm-0558: This highly sophisticated intrusion campaign, orchestrated by the Storm-0558 APT from China, infiltrated the email accounts of approximately 25 organizations, including government agencies. Ransomware\'s relentless rise Ransomware remained a prevalent and lucrative threat throughout the year: Cuba and Snatch: Ransomware groups like Cuba and Snatch targeted critical infrastructure in the United States, causing concern for national security. ALPHV/BlackCat: Beyond SEO poisoning, this group compromised the computer systems of Caesar and MGM casinos. They also resorted to filing complaints with the US Securities and Exchange Commission (SEC) against their victims, applying additional pressure to pay ransoms. Exploiting new vulnerabilities: Cybercriminals wasted no time exploiting newly discovered vulnerabilities, such as CVE-2023-22518 in Atlassian\'s Confluence, CVE-2023-4966 (Citrix bleed), and others. These vulnerabilities became gateways for ransomware attacks. Evolving ransom	Ransomware Spam Malware Tool Vulnerability Threat Prediction	Guam	★★★
	2024-01-23 15:29:37	Plus d'un quart des 2000 mondiaux ne sont pas prêts pour les règles d'authentification des e-mails rigoureuses à venir More than One-Quarter of the Global 2000 Are Not Ready for Upcoming Stringent Email Authentication Rules (lien direct)	Le courrier électronique reste le principal canal de communication pour les organisations et les moyens de communication préférés pour les consommateurs.Et partout où les gens vont, les acteurs de la menace suivent.Les cybercriminels continuent d'exploiter les e-mails pour livrer le phishing, la fraude par e-mail, le spam et d'autres escroqueries.Mais Google, Yahoo!, Et Apple se battent avec de nouvelles exigences d'authentification par e-mail conçues pour empêcher les acteurs de la menace d'abuser des e-mails.Bien que ce changement majeur soit une excellente nouvelle pour les consommateurs, les organisations n'ont pas beaucoup de temps pour préparer le google, Yahoo!Et Apple commencera à appliquer ses nouvelles exigences au premier trimestre de 2024. Avec seulement des semaines jusqu'à ce que ces règles commencent à prendre effet, plus d'un quart (27%) des Forbes Global 2000 ne sont pas prêts pour ces nouvelles exigences;Cela peut avoir un impact significatif sur leur capacité à fournir des communications par e-mail à leurs clients en temps opportun et met leurs clients en danger de fraude par e-mail et d'escroqueries.En fait, notre rapport State of the Phish 2023 a révélé que 44% des consommateurs mondiaux pensent qu'un e-mail est sûr s'il inclut simplement l'image de marque familière. L'analyse de Proofpoint \\ de la Forbes Global 2000 et leur adoption du protocole ouvert DMARC (reporting et conformité d'authentification des messages basés sur le domaine), un protocole d'authentification largement utilisé qui aide à garantir l'identité des communications par e-mail et protège les noms de domaine du site Web contre le fait d'êtreusurpé et mal utilisé, montre: Plus d'un quart (27%) du Global 2000 n'a aucun enregistrement DMARC en place, indiquant qu'ils ne sont pas préparés aux prochaines exigences d'authentification par e-mail. 69% stupéfiants ne bloquent pas activement les e-mails frauduleux en atteignant leurs clients;Moins d'un tiers (31%) ont mis en œuvre le plus haut niveau de protection pour rejeter les e-mails suspects en atteignant leurs clients de réception. 27% ont mis en œuvre une politique de moniteur, ce qui signifie que des e-mails non qualifiés peuvent toujours arriver dans la boîte de réception du destinataire;et seulement 15% ont mis en œuvre une politique de quarantaine pour diriger des e-mails non qualifiés aux dossiers spam / indésirables. L'authentification par e-mail est une meilleure pratique depuis des années.DMARC est l'étalon-or pour se protéger contre l'identité des e-mails, une technique clé utilisée dans la fraude par e-mail et les attaques de phishing.Mais, comme le révèle notre analyse du Global 2000, de nombreuses entreprises doivent encore la mettre en œuvre, et celles qui sont à la traîne de l'adoption du DMARC devront désormais rattraper leur retard rapidement s'ils souhaitent continuer à envoyer des e-mails à leurs clients.Les organisations qui ne se contentent pas ne pourraient pas voir leurs e-mails acheminés directement vers les dossiers de spam des clients ou rejeté. La mise en œuvre peut cependant être difficile, car elle nécessite une variété d'étapes techniques et une maintenance continue.Toutes les organisations n'ont pas les ressources ou les connaissances en interne pour répondre aux exigences en temps opportun.Vous pouvez profiter de ressources telles que le kit technique et d'authentification de l'e-mail technique de Proofpoint \\ pour vous aider à démarrer.ProofPoint propose également un outil pour vérifier les enregistrements DMARC et SPF de votre domaine, ainsi que pour créer un enregistrement DMARC pour votre domaine.Cet outil fait partie d'une solution complète de défense de fraude par e-mail, qui fournit un SPF hébergé, un DKIM hébergé et des fonctionnalités DMARC hébergées pour simplifier le déploiement et la maintenance tout en augmentant la sécurité.La solution comprend également l'accès à des consultants hautement expérimentés pour vous guider à travers les workflows d'im	Spam Tool Threat Cloud Technical		★★★
	2024-01-23 15:07:04	Pourquoi est-ce que je reçois autant d'appels de spam?(et comment les arrêter) Why am I getting so many spam calls? (& how to stop them) (lien direct)	& # 8230; Pourquoi est-ce que je reçois autant d'appels de spam?(& # 038; comment les arrêter) Lire la suite " … Why am I getting so many spam calls? (& how to stop them) Read More "	Spam		★★
	2024-01-18 05:00:52	Mémoire de sécurité: TA866 revient avec une grande campagne de messagerie Security Brief: TA866 Returns with a Large Email Campaign (lien direct)	What happened Proofpoint researchers identified the return of TA866 to email threat campaign data, after a nine-month absence. On January 11, 2024, Proofpoint blocked a large volume campaign consisting of several thousand emails targeting North America. Invoice-themed emails had attached PDFs with names such as “Document_[10 digits].pdf” and various subjects such as “Project achievements”. The PDFs contained OneDrive URLs that, if clicked, initiated a multi-step infection chain eventually leading to the malware payload, a variant of the WasabiSeed and Screenshotter custom toolset. Screenshot of an email with an attached PDF. If the user clicked on the OneDrive URL inside the PDF, they were: Served a JavaScript file hosted on OneDrive. The JavaScript, if run by the user, downloaded and ran an MSI file. The MSI file executed an embedded WasabiSeed VBS script. The WasabiSeed VBS script then downloaded and executed a second MSI file as well as continued polling for additional payloads in a loop. The additional payloads are currently unknown. Finally, the second MSI file contained components of the Screenshotter screenshot utility which took a screenshot of the desktop and sent it the C2. Attack chain summary: Email > PDF > OneDrive URL > JavaScript > MSI / VBS (WasabiSeed) > MSI (Screenshotter). The attack chain was similar to the last documented email campaign using this custom toolset observed by Proofpoint on March 20, 2023. The similarities helped with attribution. Specifically, TA571 spam service was similarly used, the WasabiSeed downloader remained almost the same, and the Screenshotter scripts and components remained almost the same. (Analyst Note: While Proofpoint did not initially associate the delivery TTPs with TA571 in our first publication on TA866, subsequent analysis attributed the malspam delivery of the 2023 campaigns to TA571, and subsequent post-exploitation activity to TA866.) One of the biggest changes in this campaign from the last observed activity was the use of a PDF attachment containing a OneDrive link, which was completely new. Previous campaigns used macro-enabled Publisher attachments or 404 TDS URLs directly in the email body. Screenshot of “TermServ.vbs” WasabiSeed script whose purpose is to execute an infinite loop, reaching out to C2 server and attempting to download and run an MSI file (empty lines were removed from this script for readability). Screenshot of “app.js”, one of the components of Screenshotter. This file runs “snap.exe”, a copy of legitimate IrfanView executable, (also included inside the MSI) to save a desktop screenshot as “gs.jpg”. Screenshot of “index.js”, another Screenshotter component. This code is responsible for uploading the desktop screenshot ”gs.jpg” to the C2 server. Attribution There are two threat actors involved in the observed campaign. Proofpoint tracks the distribution service used to deliver the malicious PDF as belonging to a threat actor known as TA571. TA571 is a spam distributor, and this actor sends high volume spam email campaigns to deliver and install a variety malware for their cybercriminal customers. Proofpoint tracks the post-exploitation tools, specifically the JavaScript, MSI with WasabiSeed components, and MSI with Screenshotter components as belonging to TA866. TA866 is a threat actor previously documented by Proofpoint and colleagues in [1][2] and [3]. TA866 is known to engage in both crimeware and cyberespionage activity. This specific campaign appears financially motivated. Proofpoint assesses that TA866 is an organized actor able to perform well thought-out attacks at scale based on their availability of custom tools, and ability and connections to purchase tools and services from other actors. Why it matters The following are notable characteristics of TA866\'s return to email threat data: TA866 email campaigns have been missing from the landscape for over nine months (although there are indications that the actor was meanwhile	Spam Malware Tool Threat		★★
	2024-01-17 14:10:08	Une approche basée sur les données des codes de la zone de spam: pourquoi les conseils les plus courants sont principalement erronés A data-driven approach to spam area codes: why the most common advice is mostly wrong (lien direct)	…	Spam		★★
	2024-01-15 13:03:00	Hellofresh amenait une amende et Pound; 140 000 pour 80 millions de messages de spam HelloFresh Fined £140,000 for 80 Million Spam Messages (lien direct)	> Par waqas Si vous êtes un client Hellofresh, vous recevrez probablement moins de courriels marketing et de SMS en raison de l'amende imposée & # 8230; Ceci est un article de HackRead.com Lire le post original: Hellofresh a été condamné à une amende et à Pound; 140 000 pour 80 millions de messages de spam >By Waqas If you’re a HelloFresh customer, you’ll likely receive fewer marketing emails and texts due to the fine imposed… This is a post from HackRead.com Read the original post: HelloFresh Fined £140,000 for 80 Million Spam Messages	Spam		★★★
	2024-01-15 09:30:00	Hellofresh a été condamné à une amende et à 140k après avoir envoyé 80 millions de messages de spam HelloFresh Fined £140K After Sending 80 Million Spam Messages (lien direct)	L'ICO a infligé une amende à Hellofresh & Pound; 140 000 pour avoir enfreint les lois sur la confidentialité avec une campagne de marketing de spam The ICO has fined HelloFresh £140,000 for breaking privacy laws with a spam marketing campaign	Spam		★★
	2024-01-10 21:33:16	Black Basta-Affiliated Water Curupira\'s Pikabot Spam Campaign (lien direct)	#### Description L'ensemble d'intrusion Water Curupera, connu pour avoir utilisé le ransomware Black Basta, a utilisé Pikabot, un logiciel malveillant de chargeur similaire à Qakbot, dans des campagnes de spam tout au long de 2023. Pikabot est un logiciel malveillant en plusieurs étapes avec un chargeur et un module de base dans le même fichier, ainsi qu'un code shellcopted décrypté qui décrypte un autre fichier DLL à partir de ses ressources.Le malware gagne un premier accès à la machine de sa victime via des e-mails de spam contenant une archive ou une pièce jointe PDF.Les e-mails utilisent des filetages, une technique où les acteurs malveillants utilisent des fils de messagerie existants et créent des e-mails qui semblent être censés faire partie du fil pour inciter les destinataires à croire qu'ils sont légitimes. #### URL de référence (s) 1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html #### Date de publication 10 janvier 2024 #### Auteurs) Micro-recherche tendance #### Description The Water Curupira intrusion set, known for using the Black Basta ransomware, has been using Pikabot, a loader malware similar to Qakbot, in spam campaigns throughout 2023. Pikabot is a multi-stage malware with a loader and core module within the same file, as well as a decrypted shellcode that decrypts another DLL file from its resources. The malware gains initial access to its victim\'s machine through spam emails containing an archive or a PDF attachment. The emails employ thread-hijacking, a technique where malicious actors use existing email threads and create emails that look like they were meant to be part of the thread to trick recipients into believing that they are legitimate. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html #### Publication Date January 10, 2024 #### Author(s) Trend Micro Research	Ransomware Spam Malware		★★★
	2024-01-09 21:31:00	Alerte: les pirates de curupera d'eau distribuant activement les logiciels malveillants du chargeur de pikabot Alert: Water Curupira Hackers Actively Distributing PikaBot Loader Malware (lien direct)	Un acteur de menace appelé Water Curupera a été observé en distribuant activement le & nbsp; pikabot & nbsp; chargeur malware dans le cadre des campagnes de spam en 2023. «Les opérateurs de Pikabot \\ ont mené des campagnes de phishing, ciblant les victimes via ses deux composants - un chargeur et un module de base - ce qui a permis un accès à distance non autorisé et a permis l'exécution de commandes arbitraires via une connexion établie avec A threat actor called Water Curupira has been observed actively distributing the PikaBot loader malware as part of spam campaigns in 2023. “PikaBot\'s operators ran phishing campaigns, targeting victims via its two components - a loader and a core module - which enabled unauthorized remote access and allowed the execution of arbitrary commands through an established connection with	Spam Malware Threat		★★
	2024-01-09 00:00:00	Campagne de spam Pikabot de Water Water Black Basta. Black Basta-Affiliated Water Curupira\\'s Pikabot Spam Campaign (lien direct)	Pikabot est un chargeur avec des similitudes avec Qakbot qui a été utilisé dans les campagnes de spam pendant la majeure partie de 2023. Notre entrée de blog fournit une analyse technique de ce malware. Pikabot is a loader with similarities to Qakbot that was used in spam campaigns during most of 2023. Our blog entry provides a technical analysis of this malware.	Spam Malware Technical		★★
	2024-01-08 17:57:55	Rencontrez Ika & Sal: Le duo d'hébergement pare-balles de l'enfer Meet Ika & Sal: The Bulletproof Hosting Duo from Hell (lien direct)	En 2020, les États-Unis ont porté des accusations contre quatre hommes accusés d'avoir construit un empire d'hébergement pare-balles qui a autrefois dominé l'industrie russe de la cybercriminalité et soutenu de multiples groupes de cybercriminalité organisées.Les quatre ont plaidé coupable de complot et de racket.Mais il y a une trame de fond fascinante et incalculable derrière les deux hommes russes impliqués, qui co-Ran Russia \'s le plus populaire du Spam Forum pendant des années. In 2020, the United States brought charges against four men accused of building a bulletproof hosting empire that once dominated the Russian cybercrime industry and supported multiple organized cybercrime groups. All four pleaded guilty to conspiracy and racketeering charges. But there is a fascinating and untold backstory behind the two Russian men involved, who co-ran Russia\'s most popular spam forum for years.	Spam		★★★★
	2024-01-08 13:44:29	Comment arrêter les textes de spam sur Android et iPhone How to stop spam texts on Android & iPhone (lien direct)	& # 8230; Comment arrêter les textes de spam sur Android & # 038;iPhone Lire la suite " … How to stop spam texts on Android & iPhone Read More "	Spam Mobile		★★
	2024-01-08 13:35:45	Comment arrêter les e-mails de spam (Gmail, Outlook, Yahoo Mail) How to stop spam emails (Gmail, Outlook, Yahoo Mail) (lien direct)	…	Spam	Yahoo	★
	2024-01-08 13:17:13	Comment arrêter les appels de spam et les robocaux: un guide complet How to stop spam calls & robocalls: a complete guide (lien direct)	& # 8230; comment arrêter les appels de spam & # 038;Robocalls: un guide complet Lire la suite " … How to stop spam calls & robocalls: a complete guide Read More "	Spam		★★
	2024-01-08 11:00:00	Le siège de botnet: comment votre grille-pain pourrait renverser une société The Botnet siege: How your toaster could topple a corporation (lien direct)	The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In addition to the overt signs of cyber threats we\'ve become conditioned to recognize, like ransomware emails and strange login requests, malicious actors are now utilizing another way to achieve their nefarious purposes — by using your everyday devices. These hidden dangers are known as botnets. Unbeknownst to most, our everyday devices, from toasters to smart fridges, can unwittingly be enlisted as footsoldiers in a digital army with the potential to bring down even corporate giants. This insidious force operates in silence, escaping the notice of even the most vigilant users. A recent report by Nokia shows that criminals are now using these devices more to orchestrate their attacks. In fact, cyber attacks targeting IoT devices are expected to double by 2025, further muddying the already murky waters. Let us go to the battlements of this siege, and we’ll tackle the topic in more depth. What is a botnet? Derived from the words “robot” and "network.", a botnet refers to a group of devices that have been infected with malicious software. Once infected, these devices are controlled remotely by a central server and are often used to carry out malicious activities such as cyber attacks, espionage, financial fraud, spam email campaigns, stealing sensitive information, or simply the further propagation of malware. How does a botnet attack work? A botnet attack begins with the infection of individual devices. Cybercriminals use various tactics to compromise these devices, such as sending malicious emails, exploiting software vulnerabilities, or tricking users into downloading malware. Everyday tech is notoriously prone to intrusion. The initial stages of building a botnet are often achieved with deceptively simple yet elegant tactics. Recently, a major US energy company fell prey to one such attack, owing to hundreds of phishing emails. By using QR code generators, the attacks combined two seemingly benign elements into a campaign that hit manufacturing, insurance, technology, and financial services companies, apart from the aforementioned energy companies. This new attack vector is now being referred to as Quishing — and unfortunately, it’s only going to become more prevalent. Once a device has been compromised, it becomes part of the botnet. The cybercriminal gains control over these infected devices, which are then ready to follow the attacker\'s commands. The attacker is then able to operate the botnet from a central command-and-control server to launch various types of attacks. Common ones include: Distributed denial-of-service (DDoS). The botnet floods a target website or server with overwhelming traffic, causing it to become inaccessible to legitimate users. Spam emails. Bots can be used to send out massive volumes of spam emails, often containing phishing scams or malware. Data theft. Botnets can steal sensitive information, such as login credentials or personal data, from the infected devices. Propagation. S	Ransomware Spam Malware Vulnerability Threat		★★
	2024-01-07 08:00:00	Signal Spam – Pour balancer ces ordures de spammeurs (lien direct)	Les spams sont un problème courant et Signal Spam offre une solution pour lutter contre eux. En créant un compte, les utilisateurs peuvent signaler des spams et contribuer à réguler le marché de l'emailing. Les signalements sont analysés et aident à renforcer la sécurité d'Internet. La plateforme est disponible sur iOS et nécessite une inscription avec une adresse e-mail et un mot de passe. Ensemble, nous pouvons rendre Internet plus sûr.	Spam		★★
	2024-01-04 22:13:12	UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct)	#### Description Le groupe de menaces UAC-0050 s'est avéré utiliser une stratégie avancée qui permet un canal de transfert de données plus clandestin, contournant efficacement les mécanismes de détection utilisés par la détection et la réponse des terminaux (EDR) et les systèmes antivirus. L'arme de choix du groupe est Remcosrat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage.Cependant, dans leur dernière tournure opérationnelle, le groupe UAC-0050 a intégré une méthode de tuyau pour la communication interprodique, présentant leur adaptabilité avancée.Le vecteur d'attaque initial n'a pas encore été identifié, bien que des indications penchent vers le phishing ou les e-mails de spam.Le fichier LNK est chargé de lancer le téléchargement d'un fichier HTA.Dans ce fichier HTA se trouve unLe script VBS qui, lors de l'exécution, déclenche un script PowerShell.Ce script PowerShell s'efforce de télécharger un malveillantPayload (word_update.exe) à partir d'un serveur.Lors du lancement, word_update.exe exécute CMD.exe et partage des données malveillantes via un tuyau.Par conséquent, cela conduit au lancement d'Explorer.exe avec le remcosrat malveillant résidant à la mémoire d'Explorer.exe. La version REMCOS identifiée est 4.9.2 Pro, et elle a recueilli avec succès des informations sur la victime, y compris le nom de l'ordinateur et le nom d'utilisateur.Le remcosrat supprime les cookies et les données de connexion des navigateurs suivants: Internet Explorer, Firefox et Chrome. #### URL de référence (s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Date de publication 4 janvier 2024 #### Auteurs) Recherche de menace de monture #### Description The UAC-0050 threat group has been found to be using an advanced strategy that allows for a more clandestine data transfer channel, effectively circumventing detection mechanisms employed by Endpoint Detection and Response (EDR) and antivirus systems. The group\'s weapon of choice is RemcosRAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal. However, in their latest operational twist, the UAC-0050 group has integrated a pipe method for interprocess communication, showcasing their advanced adaptability. The initial attack vector is yet to be pinpointed, though indications lean towards phishing or spam emails. The LNK file is responsible for initiating the download of an HTA file. Within this HTA file lies a VBS script that, upon execution, triggers a PowerShell script. This PowerShell script endeavors to download a malicious payload (word_update.exe) from a server. Upon launching, word_update.exe executes cmd.exe and shares malicious data through a pipe. Consequently, it leads to the launch of explorer.exe with the malicious RemcosRAT residing in the memory of explorer.exe. The Remcos version identified is 4.9.2 Pro, and it has successfully gathered information about the victim, including the computer name and username. RemcosRAT removes cookies and login data from the following browsers: Internet Explorer, Firefox, and Chrome. #### Reference URL(s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Publication Date January 4, 2024 #### Author(s) Uptycs Threat Research	Spam Malware Threat		★★
	2023-12-23 10:09:18	\\ 'Mur des nageoires \\' détecte les attaques de spam Bluetooth zéro norme \\'Wall of Flippers\\' detects Flipper Zero Bluetooth spam attacks (lien direct)	Un nouveau projet Python appelé \\ 'Wall of Flippers \' détecte les attaques de spam Bluetooth lancées par Flipper Zero et Android Devices.[...] A new Python project called \'Wall of Flippers\' detects Bluetooth spam attacks launched by Flipper Zero and Android devices. [...]	Spam Mobile		★★
	2023-12-14 07:44:10	J'ai cassé mon téléphone!Une mise à jour sur les nouveaux développements dans les attaques conversationnelles contre le mobile I Broke My Phone! An Update on New Developments in Conversational Attacks on Mobile (lien direct)	C'est la saison des achats, ce qui ne peut signifier qu'une chose: des dizaines de fausses messages de «livraison manqués» qui tentent de voler notre argent, nos données et nos identités.Mais il y a de bonnes nouvelles.Les données de preuve Point montrent que la croissance des smirs a ralenti au cours des 18 derniers mois dans de nombreuses régions, devenant une partie établie du paysage plutôt qu'une menace croissante. Tendances mondiales de smirs. Cependant, le risque reste grave.Et dans de nombreux cas, les attaques deviennent plus spécialisées et sournoises. De nouvelles attaques conversationnelles émergent Au cours de la dernière année, nous avons connu une croissance rapide des attaques conversationnelles contre le mobile.Ces tactiques impliquent que les attaquants envoient plusieurs messages, imitant les modèles d'engagement authentique pour renforcer la confiance.Pendant ce temps, nous avons vu le volume des attaques conversationnelles augmenter de 318% dans le monde, 328% aux États-Unis et 663% dans la boucherie de porc au Royaume-Uni, que nous avons couverte auparavant sur le blog, est un exemple notabled'une menace conversationnelle.Mais ce n'est pas le seul. Dans certaines parties du monde, une usurpation d'identité est devenue une tendance importante.C'est là que l'attaquant prétend être quelqu'un que la victime connaît, comme un membre de la famille, un ami ou une connaissance des entreprises.L'usurpation d'identité peut augmenter la probabilité que la victime faisait confiance au message et attiré dans la conversation. Au Royaume-Uni, l'une des tactiques d'identité communes est de prétendre être un enfant avec un téléphone perdu ou cassé. Exemple d'un texte envoyé par les attaquants. Ceci est un exemple classique de l'ingénierie sociale, en utilisant l'anxiété parentale pour contourner notre prudence habituelle.La prochaine étape dans les abus de conversation implique généralement de persuader la victime de passer à WhatsApp ou un autre service de messagerie avant de demander un transfert d'argent.Dans ce cas, la somme est susceptible d'être faible, mais nous avons vu des montants importants demandés et reçus dans une gamme de leurres conversationnels. Des messages familiaux similaires ont également été signalés en Nouvelle-Zélande.Aux États-Unis, l'identité est plus susceptible d'être un ami ou une connaissance d'entreprise revendiquant une connexion manquée ou demandant à rattraper son retard.Les méthodes qui réussissent dans un pays sont souvent appliquées ailleurs, donc il ne faudra peut-être pas longtemps avant que «Hey Mum» du Royaume-Uni ne devienne «Hey Mom» d'Amérique \\. Et comme les licenciements et l'incertitude économique restent une réalité pour beaucoup, les escroqueries de recrutement ont également passé le courrier électronique au mobile.Après une approche initiale via SMS, les attaquants tenteront de poursuivre l'engagement sur un service de messagerie.Les victimes peuvent être ciblées pour une fraude à des fins avancées, faire face au vol de données personnelles ou être recrutées comme des mules de l'argent pour le blanchiment de gangs criminels. Restez vigilant et signalez des messages malveillants Le ralentissement de la croissance peut sembler une bonne nouvelle.Mais la réalité est que les attaques de smirs sont simplement devenues omniprésentes, tout en grandissant en sophistication et en ruse.Et le risque pour les utilisateurs et l'écosystème mobile reste sévère.Nos téléphones sont toujours au centre de notre vie personnelle, professionnelle et financière.À mesure que les escroqueries deviennent plus variées et ciblées, le coût de la victime d'une attaque peut être significatif. Si vous rencontrez du shishing, du spam ou d'autres contenus suspects, assurez-vous d'utiliser les fonctionnalités de rapport Android et iOS.Ou si la capacité de rapport simplifiée n'est pas disponible, vous pouvez transmettre des messages texte de spam à 7726 qui épellent le «spam» sur le clavier	Spam Threat Mobile Prediction		★★★
	2023-12-06 18:30:00	Wyden: les gouvernements espionnent Apple, les utilisateurs de Google via les notifications de smartphone Wyden: Governments spy on Apple, Google users through smartphone notifications (lien direct)	Le sénateur Ron Wyden (D-Ore.) A averti mercredi dans une lettre au ministère de la Justice que les gouvernements espèrent les utilisateurs d'Apple et Google pour les smartphones via des notifications push mobiles.Le sénateur, qui est depuis longtemps un défenseur de la vie privée, a déclaré que son bureau avait reçu un conseil sur la pratique l'année dernière et a demandé plus d'informations sur le Sen. Ron Wyden (D-Ore.) warned in a letter to the Department of Justice on Wednesday that governments are spying on Apple and Google smartphone users through mobile push notifications. The senator, who has long been a privacy advocate, said his office received a tip about the practice last year, and sought more information on the	Spam Mobile		★★★
	2023-11-30 18:38:00	Google dévoile la nouvelle défense de Gmail \\ contre le spam et les e-mails malveillants Google Unveils RETVec - Gmail\\'s New Defense Against Spam and Malicious Emails (lien direct)	Google a révélé un nouveau vectorisateur de texte multilingue appelé RETVEC (abréviation pour le vectorisateur de texte résilient et efficace) pour aider à détecter un contenu potentiellement nocif tel que le spam et les e-mails malveillants dans Gmail. "RETVEC est formé pour être résilient contre les manipulations au niveau des caractères, notamment l'insertion, la suppression, les fautes de frappe, les homoglyphes, la substitution de leet, etc. Google has revealed a new multilingual text vectorizer called RETVec (short for Resilient and Efficient Text Vectorizer) to help detect potentially harmful content such as spam and malicious emails in Gmail. "RETVec is trained to be resilient against character-level manipulations including insertion, deletion, typos, homoglyphs, LEET substitution, and more," according to the project\'s	Spam		★★★

Last update at: 2024-04-27 21:08:26
See our sources.

To see everything: Our RSS (filtrered)