Tag: malware

Se ha abusado de Microsoft Teams y AnyDesk para difundir malware peligroso, así que prepárese

Post author By lisa nichols
Post date December 19, 2024
No Comments on Se ha abusado de Microsoft Teams y AnyDesk para difundir malware peligroso, así que prepárese

[ad_1]

Los delincuentes contactan a las víctimas y se ofrecen a ayudar a resolver un “problema”.
Para solucionar el problema, requieren acceso a AnyDesk
Si lo consiguen, lanzan el malware DarkGate y roban datos confidenciales.

Los ciberdelincuentes recopilan microsoft Teams y AnyDesk para intentar instalar una parte peligrosa de malware En los dispositivos de sus objetivos, advierten los expertos.

Un informe de Trend Micro, que afirma haber observado recientemente uno de esos ataques en la naturaleza, señala cómo los atacantes primero envían miles de correos electrónicos no deseados a sus objetivos y luego se comunican a través de Microsoft Teams, haciéndose pasar por un empleado de un proveedor externo.

Al ofrecer ayuda para resolver el problema, los atacantes indican a la víctima que instale la aplicación Microsoft Remote Support. Si eso falla, intentarán lo mismo con AnyDesk. Si tienen éxito, los atacantes utilizarán el acceso para entregar múltiples cargas útiles, incluido un malware llamado DarkGate.

DarkGate es un malware versátil que puede actuar como puerta trasera en sistemas infectados, permitiendo a los atacantes ejecutar comandos de forma remota. Puede instalar cargas útiles adicionales y filtrar datos confidenciales sin ser detectado. Los datos de alto valor incluyen credenciales de inicio de sesión, información de identificación personal o datos relacionados con clientes y socios comerciales.

Una de sus características notables es su diseño modular, que permite a los atacantes modificar la funcionalidad del malware. Por lo tanto, en un escenario puede actuar como un ladrón de información y, en otro, como un cuentagotas.

El ataque fue bloqueado antes de que pudiera causar un daño significativo, pero los investigadores lo aprovecharon como una oportunidad para advertir a las empresas sobre la amenaza constante que acecha en línea.

Las organizaciones deben capacitar a sus empleados para detectar ataques de phishing y de ingeniería social, implementar autenticación multifactor (MFA) cuando sea posible y poner la mayor parte posible de su infraestructura detrás de una VPN. Además, deben mantener actualizado el software y el hardware y considerar las fechas de fin de vida útil de los equipos críticos.

Al final, deberían usar el sentido común y no caer en intentos obvios de estafa difundidos en Internet.

a través de Noticias de piratas informáticos

También te puede gustar

[ad_2]

Source Article Link

Tags abusado, AnyDesk, así, difundir, malware, Microsoft, para, peligroso, Prepárese, teams

Featured

El grupo de hackers Midnight Blizzard está secuestrando servidores proxy RDP para lanzar ataques de malware

Post author By lisa nichols
Post date December 19, 2024
No Comments on El grupo de hackers Midnight Blizzard está secuestrando servidores proxy RDP para lanzar ataques de malware

[ad_1]

Trend Micro detecta una sofisticada campaña de phishing dirigida a objetivos militares y gubernamentales
Utiliza casi 200 servidores proxy RDP para llegar a los puntos finales
El número total de víctimas asciende a cientos

Una amenaza persistente avanzada, conocida como Midnight. ventiscaHAS lanzó un ataque de phishing a gran escala dirigido a gobiernos, organizaciones militares e investigadores académicos de Occidente.

Los investigadores de ciberseguridad de Trend Micro revelaron que el grupo aprovechó las metodologías del equipo rojo y las herramientas de anonimización, extrayendo datos confidenciales de la infraestructura de TI del objetivo.

Los investigadores dijeron en un informe que el grupo utilizó un impostor. Protocolo de escritorio remoto (RDP) y una herramienta basada en Python llamada PyRDP. El ataque comienza con un mensaje de correo electrónico de phishing que contiene un archivo de configuración RDP malicioso. Si la víctima lo ejecuta, se conecta a un servidor RDP controlado por el atacante.

En nómina en Rusia

La campaña utilizó 34 servidores backend RDP falsificados con 193 servidores proxy para redirigir las comunicaciones de las víctimas y ocultar las actividades de los atacantes.

Una vez que la víctima se conecta, los estafadores utilizan PyRDP para interceptar la conexión, actuando como un intermediario (MitM). Luego, al obtener acceso a los puntos finales objetivo, los atacantes pueden explorar archivos, filtrar datos confidenciales y más.

Si bien el número total de víctimas en toda la campaña no está claro, Trend Micro afirma que casi 200 víctimas de alto perfil fueron atacadas en un solo día, cuando la campaña estaba en su apogeo, a finales de octubre de 2024.

Las víctimas fueron organizaciones gubernamentales y militares, centros de investigación e investigadores académicos, entidades vinculadas al gobierno ucraniano, un proveedor de servicios en la nube y entidades vinculadas al Ministerio de Asuntos Exteriores holandés.

La mayoría de ellos están ubicados en Europa, Estados Unidos, Japón, Ucrania y Australia.

Para poner las cosas en más contexto, vale la pena señalar que Midnight Blizzard también se conoce como APT29, Earth Koschchei o Cozy Bear. Es un grupo de amenaza persistente, avanzado y sofisticado patrocinado por el gobierno ruso y bajo el control directo del Servicio de Inteligencia Exterior de Rusia (SVR). Se sabe que lleva a cabo campañas de espionaje electrónico principalmente en países occidentales.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags ataques, Blizzard, está, grupo, hackers, lanzar, malware, Midnight, para, Proxy, RDP, secuestrando, servidores

Featured

Páginas CAPTCHA falsas utilizadas para difundir malware para robar información

Post author By lisa nichols
Post date December 17, 2024
No Comments on Páginas CAPTCHA falsas utilizadas para difundir malware para robar información

[ad_1]

Investigadores de seguridad han descubierto una campaña de distribución de malware Lumma Stealer
La página CAPTCHA falsa viene con JavaScript que copia el código malicioso al portapapeles
Para “resolver” el CAPTCHA falso, se pide a los usuarios que peguen el código en CMD y lo ejecuten

Se utilizan páginas CAPTCHA falsas para engañar a las víctimas para que descarguen y ejecuten Lumma infostealer malware.

Los investigadores de seguridad de Guardio Labs descubrieron recientemente una importante operación maliciosa dirigida a millones de personas, llamada “DeceptionAds”.

La campaña hace un mal uso de dos servicios legítimos, la red publicitaria Monetag y BeMob, una plataforma de seguimiento del desempeño basada en la nube. Comienza con anuncios falsos, que promocionan cosas que atraen a la audiencia del sitio anfitrión, como ofertas falsas, descargas o diversos servicios, con la afluencia de piratas informáticos y plataformas de software que parecen estar entre los temas más populares.

Hábito de serpiente

Cuando la víctima hace clic en el anuncio, es redirigida a una página CAPTCHA falsa a través del servicio de anonimización de BeMob. Esto dificulta la moderación, ya que BeMob es un servicio legítimo y, como tal, no se elimina de la red publicitaria de Monetag de forma predeterminada.

“Al proporcionar una URL benigna de BeMob al sistema de gestión de anuncios de Monetag en lugar de una página captcha falsa directa, los atacantes aprovecharon la reputación de BeMob, complicando los esfuerzos de moderación de contenido de Monetag”, dijo Nati Tal, presidente de Guardio Labs, en un artículo escrito.

La página CAPTCHA viene con un fragmento de código JavaScript que copia el comando malicioso de una línea de PowerShell en el portapapeles. Sin embargo, la víctima aún necesita pegar este código en CMD y ejecutarlo, y ahí es donde entra en juego la “solución” CAPTCHA. Para resolver el CAPTCHA, los usuarios deben abrir el cuadro de diálogo Ejecutar de Windows, presionar CTRL + V (Pegar) y luego presionar Enter.

Esto ejecuta el comando que descarga y ejecuta Lumma Stealer. El grupo detrás del ataque se llama Vane Viper.

Lumma es una famosa ladrona de información en la sociedad secreta. Es capaz de robar una amplia gama de información confidencial, incluidas billeteras de criptomonedas, datos del navegador, credenciales de correo electrónico, información financiera, datos de clientes FTP e información del sistema.

Cuando Monetag y BeMob fueron notificados de la campaña, ambas empresas intervinieron para abordar el problema. Monetag eliminó 200 cuentas, mientras que BeMob finalizó la campaña en cuatro días.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags CAPTCHA, difundir, falsas, información, malware, páginas, para, robar, utilizadas

Featured

El malware BADBOX llega a 30.000 dispositivos Android: asegúrese de actualizar ahora

Post author By lisa nichols
Post date December 16, 2024
No Comments on El malware BADBOX llega a 30.000 dispositivos Android: asegúrese de actualizar ahora

[ad_1]

Lo más probable es que BADBOX venga de China
El malware puede desencadenar fraude publicitario, proxies residenciales y más actividad maliciosa
La red fue recientemente desactivada por las autoridades alemanas.

Las autoridades alemanas lograron perturbar el importante malware La operación afectó a miles de dispositivos Android en todo el país.

La Oficina Federal de Seguridad de la Información (BSI) afirmó que BADBOX venía precargado en los dispositivos Android con firmware obsoleto, que básicamente se vendía como infectado.

La agencia agregó que alrededor de 30.000 dispositivos en todo el país se vieron comprometidos, siendo los marcos de fotos digitales, reproductores multimedia y dispositivos de transmisión los puntos finales más comunes; sin embargo, es probable que algunos teléfonos inteligentes y tabletas también estuvieran infectados.

Dispositivos Android antiguos

“Lo que todos estos dispositivos tienen en común es que tienen versiones de Android obsoletas y vienen con malware preinstalado”, dijo BSI en un comunicado de prensa.

La agencia explicó cómo BADBOX pudo llevar a cabo una serie de actividades maliciosas.

Principalmente, fue diseñado para crear silenciosamente nuevas cuentas para servicios de correo electrónico y mensajería, que luego se usaron para difundir noticias falsas, desinformación y propaganda, pero BADBOX también fue diseñado para abrir sitios web en segundo plano, lo que contaría como visualizaciones de anuncios, una práctica generalmente visto como un fraude.

Además, el malware podía actuar como un servicio proxy local, poniendo el tráfico a disposición de terceros malintencionados para diversas actividades ilegales. Finalmente, BADBOX también se puede utilizar como cargador, colocando malware adicional en los dispositivos.

Según se informa, la operación fue documentada por primera vez por la inteligencia de amenazas de HUMAN Satori hace más de un año y probablemente se originó en China. Los mismos actores de amenazas supuestamente operan una botnet de fraude publicitario llamada PEACHPIT, que también está diseñada para falsificar aplicaciones populares de Android e iOS y su tráfico desde la red BADBOX.

“Todo este ciclo de fraude publicitario significó que estaban ganando dinero con impresiones de anuncios falsos en sus aplicaciones fraudulentas y engañosas”, dijo HUMAN en ese momento. “Cualquiera podría comprar accidentalmente un dispositivo BADBOX en línea sin saber que es falso, enchufarlo y, sin saberlo, abrir este malware a través de la puerta trasera”.

a través de Noticias de piratas informáticos

También te puede gustar

[ad_2]

Source Article Link

Tags actualizar, ahora, Android, asegúrese, BADBOX, dispositivos, llega, malware

Featured

Los piratas informáticos norcoreanos apuntan a Corea del Sur con vulnerabilidades de Internet Explorer para difundir el malware RokRAT

[ad_1]

Los ciudadanos surcoreanos estuvieron expuestos a malware sin un clic del Norte
El malware utilizó anuncios emergentes para instalar las cargas útiles.
También se instalan registradores de teclas y otro software de monitoreo malicioso.

El hacker ScarCruft, vinculado al estado norcoreano, llevó a cabo recientemente una campaña masiva de ciberespionaje utilizando una vulnerabilidad de día cero en Internet Explorer para difundir RokRAT. malwareadvirtieron los expertos.

El grupo, también conocido como APT37 o RedEyes, es un grupo de piratería patrocinado por el estado de Corea del Norte conocido por sus actividades de ciberespionaje.

Este grupo normalmente se centra en activistas de derechos humanos, desertores y entidades políticas de Corea del Sur en Europa.

Explotación de la vulnerabilidad de día cero de Internet Explorer

A lo largo de los años, ScarCruft se ha ganado la reputación de utilizar técnicas avanzadas como phishing, ataques a pozos de agua y explotar vulnerabilidades de día cero en el software para comprometer sistemas y robar información confidencial.

Su última campaña, denominada “Code on Toast”, fue revelada en un informe conjunto del Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur y AhnLab (ASEC). Esta campaña utilizó un método único que incluía anuncios emergentes para generar infecciones de malware sin un clic.

El aspecto innovador de esta campaña radica en cómo ScarCruft utiliza notificaciones de brindis (pequeños anuncios emergentes mostrados por antivirus o programas de utilidad gratuitos) para difundir su malware.

ScarCruft pirateó el servidor de una agencia de publicidad local en Corea del Sur para publicar “anuncios Toast” maliciosos a través de un programa gratuito popular pero anónimo utilizado por muchos surcoreanos.

Estos anuncios maliciosos incluían un iframe especialmente diseñado que activaba un archivo JavaScript llamado “ad_toast”, que ejecutaba un exploit de día cero de Internet Explorer. Utilizando este método sin hacer clic, ScarCruft pudo infectar sistemas silenciosamente sin la intervención del usuario.

La vulnerabilidad de alta gravedad en Internet Explorer utilizada en este ataque se rastrea como CVE-2024-38178 Recibió una calificación de gravedad de 7,5. La falla reside en el archivo JScript9.dll de Internet Explorer, parte de su motor Chakra, y permite la ejecución remota de código si se explota. Aunque Internet Explorer se retirará oficialmente en 2022, muchos de sus componentes permanecen integrados en Windows o en software de terceros, lo que los convierte en objetivos propicios para la explotación.

El uso por parte de ScarCruft de la vulnerabilidad CVE-2024-38178 en esta campaña es particularmente preocupante porque es muy similar a un exploit anterior que utilizaron en 2022 para CVE-2022-41128. La única diferencia en el nuevo ataque es que hay tres líneas adicionales de código diseñadas para evitar microsoftParches de seguridad anteriores.

Una vez que se explota la vulnerabilidad, ScarCruft entrega el malware RokRAT a los sistemas infectados. RokRAT se utiliza principalmente para filtrar datos confidenciales con malware que apunta a archivos con extensiones específicas como .doc, .xls, .ppt, etc., enviándolos a la nube de Yandex cada 30 minutos. Además de la extracción de archivos, RokRAT tiene capacidades de monitoreo, que incluyen registro de teclas, monitoreo del portapapeles y captura de pantalla cada tres minutos.

El proceso de infección consta de cuatro etapas, y cada carga útil se inserta en el proceso “explorer.exe” para evitar la detección. Si se encuentran herramientas antivirus populares como Avast o Symantec en el sistema, el malware se inyectará en un archivo ejecutable aleatorio desde la carpeta C:\Windows\system32. La coherencia se mantiene colocando la carga útil final, “rubyw.exe”, en el inicio de Windows y programándola para que se ejecute cada cuatro minutos.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags apuntan, Con, Corea, del, difundir, Explorer, informáticos, Internet, Los, malware, norcoreanos, para, piratas, RokRAT, sur, vulnerabilidades

Featured

Se ha descubierto el primer malware UEFI bootkit para Linux, por lo que los usuarios deben tener cuidado

Post author By lisa nichols
Post date November 28, 2024
No Comments on Se ha descubierto el primer malware UEFI bootkit para Linux, por lo que los usuarios deben tener cuidado

[ad_1]

Investigadores de ESET han descubierto 'Bootkitty', el primer kit de arranque UEFI para Linux
Bootkitty parece estar en las primeras etapas de desarrollo, pero podría representar un riesgo significativo
Se ha advertido a los usuarios de Linux que tengan cuidado con posibles ataques

Se informa que los kits de arranque UEFI están llegando LinuxLos investigadores de ESET advirtieron después de descubrir un kit de arranque UEFI de Linux, el primero de su tipo, que parece ser una versión beta o una versión en las primeras etapas de desarrollo.

Los kits de arranque UEFI son avanzados malware Dirigido a la Interfaz de firmware extensible unificada (UEFI), que es responsable de ejecutar el software Sistema operativo Y configurar dispositivos. Estos kits de arranque comprometen el firmware a un nivel bajo, lo que significa que incluso reinstalar el sistema operativo o incluso reemplazar el disco duro no elimina la presencia del malware. hasta antivirus Todo el mundo se enfrenta a dificultades para descubrirlos.

Permite a los atacantes controlar el sistema desde las primeras etapas de funcionamiento, lo que a menudo se utiliza para espiar, monitorear o lanzar otras cargas maliciosas. Al arraigarse tan profundamente en el sistema, los kits de arranque UEFI suelen ser muy difíciles de detectar o eliminar.

putketi

La variante encontrada por los investigadores de ESET se llama “Bootkitty” y dada su condición, características y nivel de funcionamiento, creen que aún se encuentra en las primeras etapas de desarrollo.

Bootkitty se basa en un certificado autofirmado, lo que significa que no funcionará en sistemas con arranque seguro; por lo tanto, solo puede apuntar a algunas distribuciones de Ubuntu.

Además, el uso de patrones de bytes codificados y el hecho de que los mejores patrones no se utilizan para cubrir múltiples versiones del kernel o de GRUB, significa que el conjunto de arranque no se puede distribuir ampliamente. Finalmente, Bootkitty viene con muchas funciones no utilizadas y no tiene comprobaciones de la versión del kernel, lo que a menudo provoca fallas del sistema.

Sin embargo, este descubrimiento representa un momento importante en el desarrollo y el potencial disruptivo de los kits de arranque UEFI.

Aunque toda la evidencia apunta a un malware que no puede causar ningún daño significativo, el hecho es que los kits de arranque han llegado a Linux. Con tantos dispositivos que ejecutan el sistema operativo, la superficie de ataque es enorme.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags bootkit, cuidado, deben, descubierto, Linux, Los, malware, para, por, primer, tener, UEFI, usuarios

Featured

Este malware de phishing apunta a cuentas de Facebook para robar datos de tarjetas de crédito

Post author By lisa nichols
Post date November 21, 2024
No Comments on Este malware de phishing apunta a cuentas de Facebook para robar datos de tarjetas de crédito

[ad_1]

Investigadores de seguridad de Netskope han encontrado una versión mejorada de Python NodeStealer
Este peligroso robo de información ahora también puede apuntar a las cuentas del Administrador de anuncios de Facebook
Puede robar información de tarjetas de crédito, datos almacenados en navegadores y más

Python NodeStealer, el notorio software de robo de información que tenía como objetivo las cuentas comerciales de Facebook, se ha actualizado con nuevas características peligrosas para que también pueda atacar las cuentas del Administrador de anuncios de Facebook, robando más datos y abriendo así la puerta a una mayor destrucción. malware Campañas.

Los investigadores de ciberseguridad Netskope Threat Labs han publicado un nuevo análisis en profundidad de NodeStealer, señalando que ahora puede robar información de tarjetas de crédito, así como credenciales almacenadas en navegador.

Explicaron que el proceso se realiza copiando “datos web” en todos los navegadores de destino. WebData es una base de datos SQLite que almacena datos confidenciales, como información de autocompletar y métodos de pago guardados.

Abuso del Administrador de reinicio de Windows

“Al utilizar esta información, el robo de información ahora puede recopilar la información de la tarjeta de crédito de la víctima, que incluye el nombre del titular de la tarjeta, la fecha de vencimiento de la tarjeta y el número de la tarjeta”, anotaron los investigadores.

Utiliza la biblioteca de Python SQLite3 para realizar una consulta en la base de datos robada, buscando cadenas específicas (información de tarjeta de crédito).

Además, Python NodeStealer ahora usa el Administrador de reinicio de Windows para abrir archivos de bases de datos. Esta biblioteca reduce la cantidad de reinicios necesarios después de las actualizaciones de software, simplemente reiniciando procesos que bloquean los archivos actualizados, pero en este caso, se está utilizando indebidamente para el robo de datos.

Primero, el software de robo extrae información copiando los archivos de la base de datos del navegador en una carpeta temporal. Pero como los archivos suelen estar bloqueados por otro proceso, no se pueden utilizar, ya que se utiliza el Administrador de reinicio de Windows. Finalmente, los archivos se extraen mediante un bot de Telegram.

Lo más probable es que Python NodeStealer haya sido desarrollado por un actor de amenazas con sede en Vietnam. Su objetivo principal es piratear cuentas de Facebook Business y, ahora, de Facebook Ads Manager, que luego pueden utilizar indebidamente en campañas publicitarias maliciosas.

Facebook suele ser estricto a la hora de comprar anuncios en su plataforma, y sólo las cuentas examinadas y verificadas pueden hacerlo. Los estafadores rara vez logran eludir los escáneres de la plataforma y, en cambio, recurren al robo de cuentas verificadas para ejecutar sus campañas.

a través de Noticias de piratas informáticos

También te puede gustar

[ad_2]

Source Article Link

Tags apunta, crédito, cuentas, datos, este, Facebook, malware, para, Phishing, robar, tarjetas

Featured

Este nuevo malware engañoso persigue a los usuarios de macOS con una gran cantidad de trucos

Post author By lisa nichols
Post date November 14, 2024
No Comments on Este nuevo malware engañoso persigue a los usuarios de macOS con una gran cantidad de trucos

[ad_1]

Investigadores de seguridad de Group-IB han descubierto un nuevo malware único
Abusa de los atributos extendidos de los archivos macOS para distribuir la carga útil
El malware probablemente fue creado por actores patrocinados por el estado en Corea del Norte.

Los investigadores de ciberseguridad han encontrado algo más malware La variante macOS probablemente fue creada por el notorio grupo Lazarus de Corea del Norte.

El informe de Group-IB se refiere al descubrimiento de RustyAttr, un nuevo malware para MacOS creado utilizando el marco Tauri. t

El malware no está marcado en VirusTotal y se firmó en algún momento utilizando un archivo legítimo. manzana ID de desarrollador. Desde entonces, la identidad ha sido cancelada.

adjetivos extendidos

Días antes, investigadores de JAMF descubrieron algo parecido – Una aplicación aparentemente benigna de VirusTotal, creada con Flutter, actúa como puerta trasera para las víctimas de macOS.

En ambos casos, el malware utilizó nuevos métodos de ofuscación, pero no eran completamente funcionales, lo que llevó a los investigadores a creer que eran sólo experimentos, en los que los delincuentes buscaban nuevas formas de ocultar la infección.

Los investigadores afirman que se ha descubierto que RustyAttr está abusando de los temas extendidos de macOS.

Los atributos extendidos (xattrs) son una característica que permite que los archivos y directorios almacenen metadatos adicionales más allá de los atributos estándar como nombre, tamaño y permisos. Se utilizan para diversas cosas, desde almacenar información relacionada con la seguridad hasta etiquetar archivos con metadatos específicos y permitir la compatibilidad con otros sistemas de archivos. En este caso, el nombre del EA era “Prueba” y contenía un guión.

Cuando se ejecuta el malware, carga un sitio web que contiene un fragmento de JavaScript. JavaScript, llamado preload.js, extrae contenido de lo que parece ser un sitio de “prueba”. Esta ubicación luego se envía a la función “run_command”, donde la ejecuta el script de shell.

Mientras el proceso continúa, la víctima es engañada con un archivo PDF falso o un mensaje de error falso que aparece en primer plano.

Los investigadores dijeron que era probable que RustyAttr fuera construido por Lazarus, aunque como no se han reportado víctimas, esto no puede ser completamente seguro. Sin embargo, confían en que el malware fue diseñado para probar nuevos métodos de entrega y ofuscación en dispositivos macOS.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags cantidad, Con, engañoso, este, Gran, Los, macOS, malware, nuevo, persigue, trucos, una, usuarios

Featured

Cuidado, este documento de Excel puede estar infectado con malware peligroso

Post author By lisa nichols
Post date November 12, 2024
No Comments on Cuidado, este documento de Excel puede estar infectado con malware peligroso

[ad_1]

Recientemente se detectó una nueva campaña de phishing, donde se distribuía un archivo Excel
El archivo coloca una copia sin archivo de Remcos RAT en el dispositivo
Remcos puede robar archivos confidenciales, claves de registro y más

Se ha visto a piratas informáticos distribuyendo una versión sin archivos del troyano de acceso remoto Remcos (RAT), que luego utilizan para robar información confidencial de dispositivos específicos mediante software comprometido. software de hoja de cálculo.

En un análisis técnico, los investigadores de Fortinet dijeron que observaron que los actores de amenazas enviaban correos electrónicos de phishing que contenían el asunto habitual de la orden de compra. Adjunto al correo electrónico A microsoft Archivo de Excel, diseñado para explotar una vulnerabilidad de ejecución remota de código en Office (CVE-2017-0199). Cuando se ejecute, el archivo descargará un archivo de aplicación HTML (HTA) desde un servidor remoto y lo ejecutará a través de mshta.exe.

El archivo descargado extraerá una segunda carga útil del mismo servidor, que ejecutará el análisis inicial y la antidepuración, después de lo cual se descargará y ejecutará Remcos RAT.

Rimkus regresa

Por su parte, Remcos no siempre fue tomada en cuenta malware. Está diseñado como software empresarial legítimo utilizado para tareas de administración remota. Sin embargo, ha sido secuestrado por ciberdelincuentes, al igual que Cobalt Strike, y hoy en día se utiliza principalmente para acceso no autorizado, robo de datos y espionaje. Remcos puede registrar pulsaciones de teclas, tomar capturas de pantalla y ejecutar comandos en sistemas infectados.

Pero esta versión de Remcos se coloca directamente en la memoria de la máquina: “En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, implementa Remcos directamente en la memoria del proceso actual”, explica Fortinet. “En otras palabras, es una versión sin archivos de Remcos”.

Phishing trans Correo electrónico Sigue siendo uno de los métodos más comunes utilizados por los ciberdelincuentes para infectar dispositivos con malware y robar información confidencial. Es barato de implementar y funciona bien, lo que lo convierte en un vector de ataque muy eficiente. La mejor manera de defenderse contra el phishing es usar el sentido común al leer correos electrónicos y tener mucho cuidado al descargar y ejecutar archivos adjuntos.

También te puede gustar

[ad_2]

Source Article Link

Tags Con, cuidado, documento, estar, este, Excel, infectado, malware, peligroso, puede

Featured

Las extensiones de Google Chrome siguen siendo un riesgo para la seguridad debido a que Manifest V3 no logra prevenir el robo de datos y la explotación de malware.

[ad_1]

La investigación muestra que Manifest V3 puede sufrir problemas de seguridad
El manifiesto de Chromium actualizado todavía permite extensiones maliciosas
Algunas herramientas de seguridad tienen dificultades para identificar extensiones peligrosas

Las extensiones del navegador han sido durante mucho tiempo una herramienta conveniente para los usuarios, mejorando… productividad Y simplificar las tareas. Sin embargo, también se han convertido en un objetivo principal para actores maliciosos que buscan explotar vulnerabilidades, dirigiéndose a usuarios individuales y empresas.

A pesar de los esfuerzos por mejorar la seguridad, muchas de estas extensiones han encontrado formas de explotar sus vulnerabilidades. GoogleEl último marco de extensión para Manifest V3 (MV3).

Investigaciones recientes escritas por Cuadrado X Ha revelado cómo estas extensiones maliciosas aún pueden eludir medidas de seguridad clave, exponiendo a millones de usuarios a riesgos como el robo de datos, malwarey acceso no autorizado a información confidencial.

Las extensiones de navegador ahora plantean amenazas aún mayores

Google siempre ha tenido problemas con las extensiones en Chrome. En junio de 2023, la empresa se vio obligada a hacerlo. Se eliminaron manualmente 32 extensiones explotables Que fue instalado 72 millones de veces antes de ser eliminado.

El marco de complementos anterior de Google, versión 2 (MV2), era un gran problema. A menudo otorgaba permisos excesivos a las extensiones y permitía que se inyectaran scripts sin que el usuario se diera cuenta, lo que facilitaba a los atacantes robar datos, acceder a información confidencial e inyectar malware.

En respuesta, Google presentó Manifest V3, cuyo objetivo es reforzar la seguridad limitando los permisos y exigiendo que las extensiones declaren sus scripts de antemano. Si bien se esperaba que MV3 resolviera las vulnerabilidades encontradas en MV2, la investigación de SquareX muestra que se queda corto en áreas críticas.

Los complementos maliciosos creados en MV3 aún pueden eludir las funciones de seguridad y robarles transmisiones de video en vivo. Plataformas de colaboración Como Google Meet y Zoom Web sin requerir permisos especiales. También pueden agregar colaboradores no autorizados a repositorios privados de GitHub e incluso redirigir a los usuarios a páginas de phishing disfrazadas de Administradores de contraseñas.

Además, estas extensiones maliciosas pueden acceder a su historial de navegación, cookies, marcadores e historial de descargas, de manera similar a sus contrapartes MV2, insertando una ventana emergente de actualización de software falsa que engaña a los usuarios para que descarguen malware.

Una vez instalada la extensión maliciosa, las personas y las organizaciones no pueden detectar las actividades de estas extensiones, dejándolas expuestas. Soluciones de seguridad como Protección de terminalesy Borde de servicio de acceso seguro (SASE). Portales web seguros (SWG) no puede evaluar dinámicamente las extensiones del navegador en busca de riesgos potenciales.

Para abordar estos desafíos, SquareX ha desarrollado varias soluciones destinadas a mejorar la seguridad de las extensiones del navegador. Su enfoque incluye políticas ajustadas que permiten a los administradores decidir qué extensiones bloquear o permitir en función de factores como permisos de extensión, historial de actualizaciones, revisiones y calificaciones de los usuarios.

Esta solución puede bloquear las solicitudes de red realizadas por extensiones en tiempo real, en función de políticas, conocimientos de aprendizaje automático y análisis empíricos. Además, SquareX está experimentando con el análisis dinámico de las extensiones de Chrome utilizando Chromium modificado. navegador en su servidor en la nube, proporcionando información más profunda sobre el comportamiento de extensiones potencialmente maliciosas.

“Las extensiones del navegador son un punto ciego para EDR/XDR y los SWG no tienen forma de inferir su existencia”, señaló Vivek Ramachandran, fundador y director ejecutivo de SquareX.

“Esto ha convertido a las extensiones de navegador en una tecnología altamente eficaz para instalar y monitorear silenciosamente a los usuarios empresariales, y los atacantes las aprovechan para monitorear las comunicaciones a través de llamadas web, actuar en nombre de la víctima para otorgar permisos a terceros, robar cookies y otros datos del sitio, etc. .”

“Nuestra investigación demuestra que sin un análisis dinámico y la capacidad de las organizaciones para aplicar políticas estrictas, no será posible identificar y prevenir estos ataques. Google MV3, aunque bien intencionado, todavía está lejos de hacer cumplir la seguridad en las etapas de diseño e implementación. ”, añadió Ramachandran.

También te puede gustar

[ad_2]

Source Article Link

Tags Chrome, datos, debido, explotación, extensiones, Google, Las, logra, malware, Manifest, para, prevenir, riesgo, robo, seguridad, siendo, siguen