一项正在进行的社会工程活动据称与Black Basta勒索软件组织有联系,该活动与“多次入侵尝试”有关,目的是进行凭据盗窃并部署名为SystemBC的恶意软件投放器。
“威胁行为者使用的最初诱饵保持不变:电子邮件炸弹,然后试图致电受影响的用户并提供虚假解决方案,”Rapid7 说,并补充说“外部电话通常是通过 Microsoft Teams 向受影响的用户拨打的。
然后,攻击链说服用户下载并安装名为AnyDesk的合法远程访问软件,该软件充当部署后续有效载荷和泄露敏感数据的通道。
这包括使用名为“AntiSpam.exe”的可执行文件,该可执行文件旨在下载垃圾邮件过滤器,并敦促用户输入其 Windows 凭据以完成更新。
该步骤之后是执行多个二进制文件、DLL 文件和 PowerShell 脚本,其中包括一个基于 Golang 的 HTTP 信标,用于与远程服务器建立联系、SOCKS 代理和 SystemBC。
为了降低威胁带来的风险,建议阻止所有未经批准的远程桌面解决方案,并留意声称来自内部 IT 人员的可疑电话和短信。
根据 ReliaQuest 的数据,SocGholish(又名 FakeUpdates)、GootLoader 和 Raspberry Robin 已成为 2024 年最常观察到的加载器菌株,然后它们成为勒索软件的垫脚石。
“GootLoader是今年前三名的新成员,随着其活动的下降,它取代了QakBot,”这家网络安全公司表示。
“恶意软件加载程序经常在 XSS 和 Exploit 等暗网网络犯罪论坛上做广告,在那里它们被推销给寻求促进网络入侵和有效载荷传递的网络犯罪分子。这些加载器通常通过订阅模式提供,按月付费可以访问定期更新、支持和旨在逃避检测的新功能。
这种基于订阅的方法的一个优点是,它甚至允许技术专长有限的威胁行为者发起复杂的攻击。
还观察到网络钓鱼攻击通过另一个称为 Ande Loader 的加载器提供一种称为 0bj3ctivity Stealer 的信息窃取恶意软件,作为多层分发机制的一部分。
“该恶意软件通过混淆和加密脚本、内存注入技术进行分发,以及不断增强Ande Loader的反调试和字符串混淆等功能,凸显了对先进检测机制和持续研究的需求,”eSentire 说。
这些活动只是最近几周发现的一连串网络钓鱼和社会工程攻击中的最新一次,尽管威胁行为者越来越多地将虚假二维码用于恶意目的 –
- 一个 ClearFake 活动,利用受感染的网页以下载 Google Chrome 更新为借口传播 .NET 恶意软件
- 一种网络钓鱼攻击,采用以工作为主题的诱饵,通过 Python shellcode 加载器提供 AsyncRAT、Pure HVNC、XWorm、Venom RAT
- 使用伪装成汇丰银行、桑坦德银行、Virgin Money 和 Wise 的虚假网站向 Windows 和 macOS 用户提供 AnyDesk 远程监控和管理 (RMM) 软件的副本,然后用于窃取敏感数据的活动
- 一个虚假网站(“win-rar[.]co“) 似乎在分发 WinRAR,用于部署托管在 GitHub 上的勒索软件、加密货币矿工和名为 Kematian Stealer 的信息窃取器
- 利用恶意广告或作为 NetSupport RAT 渠道的受感染网站的偷渡式下载活动
- 一项社交媒体恶意广告活动,通过付费广告劫持 Facebook 页面以推广看似合法的人工智能 (AI) 照片编辑器网站,引诱受害者下载 ITarian 的 RMM 工具并使用它来提供 Lumma Stealer
“针对社交媒体用户进行恶意活动凸显了强大的安全措施的重要性,以保护帐户凭据并防止未经授权的访问,”趋势科技研究人员表示。
发表评论
您还未登录,请先登录。
登录