Η Check Point Research (CPR) tarkkailee uutta kampanjaa haittaohjelma hyödyntää sen vahvistusta Microsoftin digitaalinen allekirjoitus varastaa uhrien arkaluonteisia tietoja.
Μnimen kanssa ZLoader, haittaohjelmat ovat yksi pankkitroijalainen joka käyttää verkkoinjektio varastaa evästeet, salasanat ja kaikki arkaluontoiset tiedot.
Se ZLoader on tullut tiedossa siirtyneen aiemminι lunnasohjelmat ja löydettiin hänen tutkasta CISA syyskuussa 2021 sen jakelusta vastaavana menetelmänä Conti ransomware. Saman kuukauden aikana Microsoft sanoi operaattoreilleen ZLoader ostanut mainoksia Googlen avainsanat levittää erilaisia haittaohjelmien johtajia, mukaan lukien Ryuk-lunnasohjelma.
Tänään, CPR julkaisee raportin, jossa kerrotaan yksityiskohtaisesti sen uudelleen ilmestymisestä ZLoader kampanjassa, joka on vallannut 2.000 111 uhria XNUMX maassa. THE CPR pitää kampanjan kyberrikollisryhmän ansioksi MalSmoke.
Miten hyökkäys tapahtuu
1. Hyökkäys alkaa laillisen etähallintaohjelman asennuksella, joka teeskentelee asennuksena Jaava
2. Tämän asennuksen jälkeen tekijällä on täysi pääsy järjestelmään ja hän voi lataa / lataa tiedostoja ja myös ajaa skriptejä, joten hyökkääjä lataa ja suorittaa joitain skriptejä, jotka lataavat lisää komentosarjoja mshta.exe tiedoston kanssa appContast.dll parametrina
3. Tiedosto appContast.dll on allekirjoittanut Microsoft, vaikka lisätietoja on lisätty tiedoston loppuun
4. Lisätiedot lataavat ja suorittavat lopullisen hyötykuorman Zloader, uvarastaa käyttäjätunnuksia ja henkilökohtaisia tietoja uhreilta
Uhrit
Toistaiseksi, CPR on tallentanut 2170 ainutlaatuisia uhreja. Suurin osa uhreista asuu Yhdysvallat, jonka jälkeen Kanada ja Intia.
Raportti:
Η CPR arvioi, että kampanjan takana olevat kyberrikolliset ovat Malsmoke, kun otetaan huomioon joitain yhtäläisyyksiä aikaisempien kampanjoiden kanssa.
Paljastus:
Η CPR tiedotettu Microsoft ja Atera löydöstään.
Ο Kobi Eisenkraft, Check Pointin haittaohjelmien tutkija sanoi:
Hyökkääjät, joille hyökkäys johtuu, ovat MalSmoke, jotka yrittävät varastaa käyttäjien tunnistetiedot ja henkilökohtaisia tietoja uhreilta. Toistaiseksi olemme laskeneet 2.170 111 uhria XNUMX maassa ja jatkamme. Kaiken kaikkiaan näyttää siltä, että syyllistyneet kampanjaan Zloader tekevät suuria ponnisteluja välttääkseen havaitsemisen ja jatkavat menetelmiensä päivittämistä viikoittain.
Kehotan käyttäjiä ottamaan sen päivityksen käyttöön Microsoft tiukkaa tarkastusta varten Authenticode, koska sitä ei ole asennettu oletusarvoisesti.
Turvallisuus vinkkejä
- Käytä Microsoft Updatea tiukkaa tarkistusta varten Authenticode. Ei sovellu oletuksena.
- Älä asenna ohjelmia tuntemattomista lähteistä tai sivustoista.
- Älä avaa linkkejä ja tuntemattomia liitteitä, jotka saat postitse.
Lehdistötiedote
Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme! Jos käytät RSS-lukijaa, voit myös lisätä sivumme listallesi seuraamalla tätä linkkiä >> https://news.xiaomi-miui.gr/feed/gn
Seuraa meitä Telegram niin saat ensimmäisenä tietää kaikki uutiset!