
Hackers στοχεύουν την Ουκρανία με το Cobalt Strike
13 Ιουνίου, 2024
Αναζητείται ο εγκέφαλος πίσω από το Emotet Malware
17 Ιουνίου, 2024Ψεύτικες ενημερώσεις προγραμμάτων περιήγησης χρησιμοποιούνται για την παράδοση απομακρυσμένων trojans πρόσβασης (RATs) και κακόβουλου λογισμικού (malware) κλοπής πληροφοριών, όπως το BitRAT και το Lumma Stealer.
Η επίθεση ξεκινά όταν οι στόχοι επισκέπτονται μια κακόβουλη ιστοσελίδα που τους ανακατευθύνει σε μια ψεύτικη σελίδα ενημέρωσης προγράμματος περιήγησης. Η σελίδα αυτή περιέχει σύνδεσμο για λήψη αρχείου ZIP που φιλοξενείται στο Discord. Το αρχείο περιέχει ένα JavaScript αρχείο που εκτελεί PowerShell scripts για την ανάκτηση επιπλέον κακόβουλου λογισμικού (malware) από έναν απομακρυσμένο server, συμπεριλαμβανομένων των BitRAT και Lumma Stealer.
Τα κακόβουλα λογισμικά BitRAT και Lumma Stealer επιτρέπουν στους hackers να συλλέγουν δεδομένα, να πραγματοποιούν εξόρυξη κρυπτονομισμάτων και να αποκτούν απομακρυσμένο έλεγχο των μολυσμένων συστημάτων. Επίσης, η εταιρεία eSentire ανέφερε μια νέα εκστρατεία που χρησιμοποιεί το “ClearFake” για να παραπλανήσει τους χρήστες να εκτελέσουν κακόβουλο PowerShell κώδικα υπό το πρόσχημα ενημέρωσης προγράμματος browser.
Σύμφωνα με την ReliaQuest, ο ιστότοπος ζητά από τους χρήστες να εγκαταστήσουν ένα root certificate και να εκτελέσουν κακόβουλο κώδικα PowerShell. Το Lumma Stealer θεωρείται ένα από τα πιο διαδεδομένα κακόβουλα λογισμικά κλοπής πληροφοριών για το 2023.

Πρόσφατα, εκστρατεία της AhnLab χρησιμοποιεί “webhards” για τη διάδοση κακόβουλων προγραμμάτων, όπως το Orcus RAT και XMRig miner. Επίσης, η Silent Push αποκάλυψε ότι το CryptoChameleon χρησιμοποιεί DNSPod nameservers για να υποστηρίξει την αρχιτεκτονική του phishing kit του.