Cybersecurity -onderzoekers hebben een nieuwe kwaadaardige campagne bekendgemaakt die een nepwebsite -advertentie -antivirussoftware van Bitdefender naar slachtoffers van Bitdefender gebruikt om een externe toegang te downloaden Trojan genaamd Venom Rat.
De campagne duidt op een “duidelijke intentie om individuen te richten op financieel gewin door hun referenties, crypto -portefeuilles en mogelijk toegang tot hun systemen te verkrijgen”, zei het Domaintools Intelligence (DTI) -team in een nieuw rapport gedeeld met The Hacker News.
De website in kwestie, “BitDefender-Download (.) Com”, adverteert bezoekers van de site om een Windows-versie van de antivirussoftware te downloaden. Als u op de prominente knop “Downloaden voor Windows” klikt, wordt een bestandsdownload geïnitieerd vanuit een Bitbucket -repository die omleidt naar een Amazon S3 -bucket. Het Bitbucket -account is niet langer actief.
Het ZIP-archief (“bitdefender.zip”) bevat een uitvoerbaar bestand met de naam “storeInstaller.exe”, met malwareconfiguraties die zijn gekoppeld aan Venom Rat, evenals code gerelateerd aan het open-source post-exploitatie framework Silenttrinity en Stormkitty Stealer.
Venom Rat is een uitloper van quasarrat die wordt geleverd met mogelijkheden om gegevens te oogsten en aanhoudende externe toegang tot aanvallers te bieden.
Domaintools zei dat de Decoy -website zich aanmeldt als Bitdefender deelt tijdelijke en infrastructuuroverlapt met andere kwaadaardige domeinen die banken en generieke IT -diensten spoofen die zijn gebruikt als onderdeel van phishing -activiteit om inloggegevens te oogsten in verband met Royal Bank of Canada en Microsoft.
“Deze tools werken in concert: Venom rat sluipt binnen, Stormkitty grijpt je wachtwoorden en digitale portemonnee -info, en Silenttrinity zorgt ervoor dat de aanvaller verborgen kan blijven en de controle kan behouden,” zei het bedrijf.
“Deze campagne onderstreept een constante trend: aanvallers gebruiken geavanceerde, modulaire malware gebouwd uit open-source componenten. Deze” build-your-eigen-malware “-benadering maakt deze aanvallen efficiënter, stealthy en aanpasbaarder.”
De openbaarmaking komt als Sucuri waarschuwde voor een campagne in Clickfix-stijl die nep-google meetpagina’s gebruikt om gebruikers te misleiden om noosti-vm.bat rat te installeren, een zwaar verdoezeld Windows-batchscript dat de afstandsbediening over de computer van het slachtoffer verleent over de computer van het slachtoffer.
“Deze neppagina van Google ontmoet geen inlogformulier om rechtstreeks inloggegevens te stelen,” zei beveiligingsonderzoeker Puja Srivastava. “In plaats daarvan maakt het gebruik van een social engineering -tactiek, die een nep ‘microfoonmachtiging wordt geweigerd’ die de gebruiker wordt geweigerd om een specifieke PowerShell -opdracht als een ‘fix’ te kopiëren en aan te sporen.
Het volgt ook een piek in phishing-aanvallen die het AppSheet No-Code Development Platform van Google exploiteren om een zeer gerichte, geavanceerde campagne op te zetten die zich voordoet als meta.
“Gebruik van state-of-the-art tactieken zoals polymorfe identificatiegegevens, geavanceerde man-in-de-Middle proxy-mechanismen en multi-factor authenticatie-bypass-technieken, willen de aanvallers in een rapport in een rapport in een rapport in een rapport oogsten.
De campagne omvat het gebruik van AppSheet om phishing -e -mails op schaal te leveren, waardoor de dreigingsactoren e -mailbeveiligingsverdedigingen zoals SPF, DKIM en DMARC kunnen omzeilen vanwege het feit dat de berichten afkomstig zijn van een geldig domein (“Noreply@AppSheet (.) Com”).
Bovendien beweren de e-mails van Facebook-ondersteuning te zijn en accountverwijderingswaarschuwingen te gebruiken om gebruikers te misleiden om te klikken op neplinks onder het voorwendsel van het indienen van een beroep binnen een periode van 24 uur. De booby-gevangen links leiden slachtoffers naar een phishing-pagina van de tegenstander (AITM) die is ontworpen om hun referenties en twee-factor authenticatie (2FA) codes te oogsten.
“Om de detectie verder te ontwijken en sanering te compliceren, gebruiken de aanvallers de functionaliteit van AppSheets voor het genereren van unieke ID’s, weergegeven als casus -ID’s in de hoofdtekst van de e -mail,” zei het bedrijf.
“De aanwezigheid van unieke polymorfe identificatiegegevens in elke phishing -e -mail zorgt ervoor dat elk bericht iets anders is, waardoor ze traditionele detectiesystemen helpen omzeilen die afhankelijk zijn van statische indicatoren zoals hashes of bekende kwaadaardige URL’s.”
