![midnight blizzard](https://www.securityawared.com/wp-content/uploads/2024/03/midnight-blizzard-150x150.jpg)
Midnight Blizzard: Έκλεψε δεδομένα της Microsoft;
13 Μαρτίου, 2024![κακόβουλες διαφημίσεις](https://www.securityawared.com/wp-content/uploads/2024/03/kakovoules-diafhmiseis-150x150.jpg)
Κακόβουλες διαφημίσεις στοχεύουν Κινέζους χρήστες
15 Μαρτίου, 2024Παρατηρήθηκε πρόσφατα μια εκστρατεία phishing που διαδίδει trojans απομακρυσμένης πρόσβασης (RAT) όπως το VCURMS και το STRRAT μέσω ενός κακόβουλου προγράμματος λήψης βασισμένου σε Java.
Οι χάκερς αποθήκευσαν κακόβουλο λογισμικό σε δημόσιες υπηρεσίες όπως το Amazon Web Services (AWS) και το GitHub για να αποφύγουν τον εντοπισμό. Μια ασυνήθιστη πτυχή αφορά την χρήση από το VCURMS της διεύθυνσης email της Proton Mail για επικοινωνία με έναν διακομιστή εντολών και ελέγχου. Η επίθεση ξεκινά με ένα email ψαρέματος που καλεί τους παραλήπτες να επαληθεύσουν τις πληροφορίες πληρωμής, οδηγώντας στη λήψη ενός κακόβουλου αρχείου JAR που φιλοξενείται στο AWS.
Αυτή η διαδικασία ξεκινά τη φόρτωση και εκτέλεση δύο επιπλέον αρχείων JAR, ενεργοποιώντας δύο τρομοκράτες. Το VCURMS RAT επικοινωνεί με μια διεύθυνση ελεγχόμενη από τον χάκερ και ελέγχει το inbox για συγκεκριμένα θέματα για να εκτελέσει εντολές. Μπορεί να εκτελεί αυθαίρετες εντολές, να συλλέγει δεδομένα συστήματος, να κλέβει ευαίσθητα δεδομένα από διάφορες εφαρμογές και προγράμματα περιήγησης, και να κατεβάζει πρόσθετες μονάδες από το τελικό σημείο AWS. Το VCURMS μοιάζει με το Rude Stealer, ενώ το STRRAT, ένα RAT βασισμένο σε Java, έχει εντοπιστεί από το 2020 και συνήθως διανέμεται μέσω κακόβουλων αρχείων JAR.
![phishing εκστρατεία](https://www.securityawared.com/wp-content/uploads/2024/03/phishing-εκστρατεία-trojans.jpg)
Επιπλέον, αποκαλύφθηκε μια επιπλέον εκστρατεία phishing που χρησιμοποιεί αυτοματοποιημένα μηνύματα ηλεκτρονικού ταχυδρομείου που φέρουν το λογότυπο του Dropbox, προκειμένου να διαδώσει έναν ψεύτικο σύνδεσμο που μιμείται την είσοδο στο Microsoft 365. Ο σύνδεσμος κατευθύνει τους χρήστες σε ένα αρχείο PDF που περιέχει μια ύποπτη σύνδεση προς έναν τομέα που δεν είχε προηγουμένως ανιχνευθεί.