Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome

Το trojan απομακρυσμένης πρόσβασης γνωστό ως Gh0st RAT έχει παρατηρηθεί να διανέμεται μέσω μιας μεθόδου “διαφυγής dropper” που ονομάζεται Gh0stGambit, στο πλαίσιο ενός προγράμματος λήψης που στοχεύει Κινέζους χρήστες Windows.

Οι μολύνσεις αυτές προέρχονται από έναν ψεύτικο ιστότοπο (“chrome-web[.]com”), ο οποίος διανέμει κακόβουλα πακέτα προγραμμάτων εγκατάστασης, προσποιούμενα ότι είναι το πρόγραμμα περιήγησης Chrome της Google. Αυτό υποδηλώνει ότι στοχεύουν χρήστες που αναζητούν το λογισμικό στο διαδίκτυο.

Το Gh0st RAT είναι ένα μακροχρόνιο κακόβουλο λογισμικό που έχει παρατηρηθεί από το 2008 και έχει εξελιχθεί σε διάφορες παραλλαγές μέσα στα χρόνια, με κύριες εκστρατείες που οργανώνονται από ομάδες κυβερνοκατασκοπείας, οι οποίες συνδέονται με την Κίνα. Ορισμένες εκδόσεις του trojan έχουν επίσης χρησιμοποιηθεί προηγουμένως – και εκμεταλλεύονταν servers MS SQL με μη επαρκή ασφάλεια – για να εγκαταστήσουν κρυφά open-source rootkits.

Δείτε ακόμη: Το 9002 RAT malware στοχεύει ιταλικές εταιρείες

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 10 hours ago

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 18 hours ago

Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro. Ο Οργανισμός Τροφίμων και Φαρμάκων (FDA) των ΗΠΑ, ενέκρινε την Πέμπτη το πρώτο λογισμικό ακουστικών βαρηκοΐας χωρίς ιατρική συνταγή, που προορίζεται να χρησιμοποιηθεί με συμβατές εκδόσεις των ακουστικών AirPods Pro της Apple.

00:00 Εισαγωγή
00:22 AirPods Pro 2
01:05 Ενίσχυση ήχων
01:58 Λειτουργία Hearing Aid

Μάθετε περισσότερα: https://www.secnews.gr/618673/fda-exousiodotei-proto-logismiko-akoustikon-varikoias-airpods-pro/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmU0ZzdzODMzeXlN

Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro

SecNewsTV 13 Σεπτεμβρίου 2024, 19:21 19:21

Load More... Subscribe

Σύμφωνα με την εταιρεία κυβερνοασφάλειας eSentire, η οποία αποκάλυψε τη νέα αυτή δραστηριότητα, η στόχευση των Κινέζων χρηστών προκύπτει από τη «χρήση κινεζικής γλώσσας στο διαδίκτυο και κινεζικών εφαρμογών που αποσκοπούν στην κλοπή δεδομένων και στην αμυντική διαφυγή από κακόβουλο λογισμικό».

Το MSI πρόγραμμα εγκατάστασης που κατεβάστηκε από τον ψεύτικο ιστότοπο περιλαμβάνει δύο αρχεία: ένα νόμιμο εκτελέσιμο πρόγραμμα εγκατάστασης του Chrome και ένα κακόβουλο πρόγραμμα εγκατάστασης (“WindowsProgram.msi”), το οποίο χρησιμοποιείται για την εκτέλεση του shellcode που φορτώνει το Gh0stGambit.

Το dropper ελέγχει επίσης την εγκατάσταση λογισμικού ασφαλείας, όπως το 360 Safe Guard και το Microsoft Defender Antivirus, προτού επικοινωνήσει με έναν διακομιστή εντολών και ελέγχου (C2) για να αποκτήσει το Gh0st RAT.

Το Gh0st RAT είναι γραμμένο σε C++ και προσφέρει πολλές δυνατότητες, όπως τερματισμό διεργασιών, διαγραφή αρχείων, ηχογράφηση, καταγραφή στιγμιότυπων οθόνης, απομακρυσμένη εκτέλεση εντολών, καταγραφή πλήκτρων, εξαγωγή δεδομένων και απόκρυψη μητρώου, αρχείων και καταλόγων μέσω των λειτουργιών του rootkit, καθώς και πολλές άλλες. Αυτό αναφέρει η eSentire.

Το λογισμικό έχει τη δυνατότητα να απορρίπτει το Mimikatz, να ενεργοποιεί το RDP στους παραβιασμένους servers, να αποκτά πρόσβαση σε αναγνωριστικά λογαριασμών που σχετίζονται με το Tencent QQ, να διαγράφει τα αρχεία καταγραφής των Windows και να καταστρέφει δεδομένα από τους περιηγητές 360 Secure Browser, QQ Browser και Sogou Explorer.

Διαβάστε περισσότερα: Palo Alto: Διορθώνει κρίσιμη ευπάθεια στο Expedition Migration Tool

Η καναδική εταιρεία ανέφερε ότι αυτές οι τεχνικές σχετίζονται με μια παραλλαγή του Gh0st RAT, γνωστή ως HiddenGh0st, την οποία παρακολουθεί το Κέντρο Πληροφοριών Ασφαλείας AhnLab (ASEC).

Το Gh0st RAT έχει αποκτήσει ευρεία χρήση και παραλλαγές από ομάδες APT και εγκληματικές οργανώσεις τα τελευταία χρόνια,” όπως ανέφερε η eSentire. “Τα πρόσφατα ευρήματα τονίζουν την εξάπλωση αυτής της απειλής μέσω λήψεων που παραπλανούν τους χρήστες να εγκαταστήσουν ένα κακόβουλο πρόγραμμα του Chrome από αναξιόπιστους ιστότοπους.”

Η συνεχής επιτυχία αυτών των λήψεων υπογραμμίζει τη σημασία της διαρκούς εκπαίδευσης και των προγραμμάτων ευαισθητοποίησης σχετικά με θέματα ασφάλειας.

Η Symantec, θυγατρική της Broadcom, ανέφερε αύξηση στις καμπάνιες phishing που πιθανόν εκμεταλλεύονται μεγάλα γλωσσικά μοντέλα (LLM) για τη δημιουργία κακόβουλου κώδικα σε PowerShell και HTML, ο οποίος χρησιμοποιείται για τη λήψη διαφόρων loaders και stealers.

Τα ηλεκτρονικά μηνύματα περιλάμβαναν “κώδικα που χρησιμοποιείται για τη λήψη διαφόρων κακόβουλων φορτίων, όπως τα Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot και Dunihi (H-Worm),” όπως ανέφεραν οι ερευνητές ασφαλείας Nguyen Hoang Giang και Yi Helen Zhang.

Δείτε επίσης: Το Coyote banking trojan στοχεύει χρήστες Windows στη Βραζιλία

“Η ανάλυση των σεναρίων παράδοσης κακόβουλου λογισμικού σε αυτές τις επιθέσεις υποδεικνύει ότι δημιουργήθηκαν με τη βοήθεια LLM.”

Πηγή: thehackernews