SnipBot: Νέα έκδοση του RomCom malware κλέβει δεδομένα

Μια νέα παραλλαγή του RomCom malware, με το όνομα SnipBot, διεισδύει σε δίκτυα και κλέβει δεδομένα από παραβιασμένα συστήματα.

Το SnipBot ανακαλύφθηκε από ερευνητές της Unit 42 της Palo Alto Networks, μετά από ανάλυση ενός DLL module που χρησιμοποιείται στις εν λόγω επιθέσεις.

Οι τελευταίες καμπάνιες SnipBot στοχεύουν διάφορους τομείς, συμπεριλαμβανομένων των υπηρεσιών πληροφορικής, των νομικών υπηρεσιών και της γεωργίας.

RomCom malware

Το RomCom είναι ένα backdoor το οποίο έχει χρησιμοποιηθεί για την παράδοση του Cuba ransomware, καθώς και για στοχευμένες επιθέσεις phishing.

#secnews #nuclear_bomb #asteroid

Πυρηνική βόμβα θα μπορούσε να σώσει τη Γη από αστεροειδείς. Μια πυρηνική βόμβα θα μπορούσε να σώσει τη Γη από μια καταστροφική πρόσκρουση αστεροειδούς, σύμφωνα με μια πρώτη στο είδος της εργαστηριακή μελέτη. Το νέο πείραμα, που διεξήχθη χρησιμοποιώντας την πιο ισχυρή εργαστηριακή πηγή ακτινοβολίας στον κόσμο, έδειξε ότι η έκρηξη ενός συντονισμένου πυρηνικού χτυπήματος κοντά σε έναν αστεροειδή θα παρήγαγε αρκετή δύναμη για να τον εκτρέψει από μια θανατηφόρα σύγκρουση με τον πλανήτη μας.

00:00 Εισαγωγή
00:38 Ισχυρή έκρηξη ακτίνων Χ
01:05 Επικίνδυνοι αστεροειδείς
01:38 Νέα μελέτη

Μάθετε περισσότερα: https://www.secnews.gr/621808/mia-piriniki-vamva-mporouse-sosei-gi-apo-proskrousi-asteroeidous/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LktQVGRqVy1TamVr

Πυρηνική βόμβα θα μπορούσε να σώσει τη Γη από αστεροειδείς

SecNewsTV 20 hours ago

#secnews #3dprinting #hotel

Το πρώτο 3D-printed ξενοδοχείο στον κόσμο χτίζεται στην έρημο του Τέξας. Ο δημιουργός του μοιάζει με οποιονδήποτε άλλο 3D εκτυπωτή αλλά είναι τεράστιος και φτιάχνει, στρώμα-στρώμα, αυτό το ιδιαίτερο ξενοδοχείο.

Το El Cosmico, ένα υπάρχον ξενοδοχείο και κάμπινγκ στα περίχωρα της πόλης Marfa στο Τέξας, χτίζει 43 νέες ξενοδοχειακές μονάδες και 18 κατοικίες πάνω από 40 στρέμματα, με τη βοήθεια της 3D printing τεχνολογίας.

Μάθετε περισσότερα: https://www.secnews.gr/621785/texas-xtizetai-proto-3d-printed-ksenodoxeio-kosmo/

00:00 Εισαγωγή
00:14 El Cosmico - Liz Lambert
00:50 Πλεονεκτήματα τεχνολογίας 3D printing
01:19 Εκτυπωτής Vulkan
02:06 3D printed ξενοδοχεία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmQ3ei04czRxdEEw

3D-Printed ξενοδοχείο στο Τέξας αλλάζει τα δεδομένα!

SecNewsTV 22 hours ago

Ένας ασπρόμαυρος βράχος με ρίγες, διαμέτρου 20 εκατοστών, αποκαλύπτει νέα στοιχεία για τον Άρη.

Αυτή η ανακάλυψη θα μπορούσε να αλλάξει την κατανόησή μας για τον κόκκινο πλανήτη και να ανοίξει το δρόμο προς την ανθρώπινη εξερεύνηση.

#Άρης #ΔιαστημικήΑνακάλυψη #Εξερεύνηση #Αστρονομία #Βράχοι #ΚόκκινοςΠλανήτης #ΜυστηριώδειςΒράχοι #ΕξωγήινηΖωή #ΝέαΕυρήματα #ΑσυνήθιστεςΥφές

5 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llg4WUx5SnFxbjVz

Ανακάλυψη μυστηριώδους βράχου στον Άρη

SecNewsTV 23 hours ago

Load More... Subscribe

Η προηγούμενη έκδοσή του, που ονομάστηκε RomCom 4.0 από τους ερευνητές της Trend Micro, περιελάμβανε διάφορες δυνατότητες, συμπεριλαμβανομένης της εκτέλεσης εντολών, της κλοπής αρχείων, της εγκατάστασης νέων κακόβουλων payloads, της τροποποίησης του Windows registry και της χρήσης του TLS protocol για επικοινωνίες εντολών και ελέγχου (C2).

Δείτε επίσης: White Snake: Κλέβει κωδικούς CVC πιστωτικών καρτών στο Chrome

Οι ερευνητές πιστεύουν ότι η νέα έκδοση SnipBot είναι το RomCom 5.0 και χρησιμοποιεί 27 εντολές. Αυτές οι εντολές δίνουν στους επιτιθέμενους πιο λεπτομερή έλεγχο των λειτουργιών κλοπής δεδομένων, επιτρέποντας τη στόχευση συγκεκριμένων τύπων αρχείων ή καταλόγων, τη συμπίεση των κλεμμένων δεδομένων χρησιμοποιώντας το εργαλείο αρχειοθέτησης αρχείων 7-Zip και την εισαγωγή archive payloads που θα εξάγονται στον κεντρικό υπολογιστή.

Επιπλέον, το SnipBot χρησιμοποιεί προηγμένες τεχνικές obfuscation για αποφυγή της ανίχνευσης.

Το κύριο module του SnipBot, “single.dll“, αποθηκεύεται σε κρυπτογραφημένη μορφή στο Windows Registry από όπου φορτώνεται στη μνήμη. Πρόσθετα modules που έχουν ληφθεί από τον διακομιστή C2, όπως το “keyprov.dll“, αποκρυπτογραφούνται και εκτελούνται και αυτά στη μνήμη.

Οι ερευνητές της Unit 42 ανέλυσαν υποβολές VirusTotal, κάτι που τους επέτρεψε να ανακαλύψουν τον αρχικό φορέα μόλυνσης.

Η επίθεση ξεκινά, συνήθως, με phishing emails που περιέχουν συνδέσμους για λήψη φαινομενικά αβλαβών αρχείων, όπως έγγραφα PDF.

Επίσης, παλιότερα είχε χρησιμοποιηθεί ένας ψεύτικος ιστότοπος της Adobe από όπου το θύμα υποτίθεται ότι θα κατεβάσει μια γραμματοσειρά για να μπορεί να διαβάσει το συνημμένο αρχείο PDF.

Με τον έναν ή τον άλλον τρόπο, ενεργοποιείται μια σειρά από ανακατευθύνσεις σε πολλά domains, που βρίσκονται υπό τον έλεγχο του εισβολέα (“fastshare[.]click”, “docstorage[.]link” και “publicshare[.]link”). Τελικά, εγκαθίσταται ένα κακόβουλο εκτελέσιμο πρόγραμμα λήψης από file-sharing πλατφόρμες, όπως “temp[.]sh”.

Δείτε επίσης: Ajina.Banker: Νέο Android malware κλέβει οικονομικά στοιχεία

Τα προγράμματα λήψης συχνά υπογράφονται με νόμιμα πιστοποιητικά, ώστε να μην εμφανίζονται προειδοποιήσεις από τα εργαλεία ασφαλείας, κατά την ανάκτηση εκτελέσιμων αρχείων DLL από το C2.

Μια κοινή τακτική για τη φόρτωση αυτών των payloads είναι η χρήση του COM hijacking για την εισαγωγή τους στο “explorer.exe“.

Μετά την παραβίαση ενός συστήματος και τη μόλυνση με το SnipBot malware, ο επιτιθέμενος συλλέγει πληροφορίες σχετικά με το εταιρικό δίκτυο και το domain controller. Στη συνέχεια, κλέβει συγκεκριμένους τύπους αρχείων από τους καταλόγους Documents, Downloads και OneDrive.

Οι ερευνητές λένε ότι ακολουθεί μια δεύτερη φάση ανακάλυψης, με το βοηθητικό πρόγραμμα AD Explorer που επιτρέπει την προβολή και την επεξεργασία του Active Directory (AD) καθώς και την πλοήγηση στη βάση δεδομένων AD.

Τα στοχευμένα δεδομένα εξάγονται με χρήση του PuTTY Secure Copy client, μετά την αρχειοθέτησή τους με το WinRAR.

Προστασία από info-stealer malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.

Δείτε επίσης: StealC malware: Κατάχρηση του kiosk mode του browser για κλοπή credentials

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: www.bleepingcomputer.com