มีการตรวจพบมัลแวร์ Bumblebee ในการโจมตีเมื่อไม่นานมานี้ หลังจากผ่านไปกว่าสี่เดือนที่ Europol ได้มีการขัดขวางการทำงานในปฏิบัติการ Operation Endgame เมื่อเดือนพฤษภาคม (more…)
มัลแวร์ Bumblebee กลับมาอีกครั้งหลังจากถูกขัดขวางจากการบังคับใช้กฎหมายเมื่อไม่นานมานี้
“PindOS” JavaScript Dropper ถูกใช้เพื่อแพร่กระจายมัลแวร์ Bumblebee และ IcedID
บริษัทด้านความปลอดภัยทางไซเบอร์ Deep Instinct กำลังติดตามมัลแวร์ใหม่ที่ชื่อ PindOS ซึ่งชื่อนี้อยู่ในสตริงของ "User-Agent"
โดย Bumblebee และ IcedID ทำหน้าที่เป็น loaders เพื่อเป็น Attack Vector สำหรับมัลแวร์ตัวอื่น ๆ บนเครื่องโฮสต์ที่ถูกโจมตี รวมไปถึงการทำงานของ ransomware ด้วย โดยรายงานล่าสุดจาก Proofpoint ระบุว่า IcedID ยกเลิกคุณสมบัติการฉ้อโกงทางธนาคารเพื่อมุ่งเน้นไปที่เฉพาะการส่งมัลแวร์เพียงอย่างเดียว
(more…)
พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee
พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee
Bumblebee เป็นตัวติดตั้งมัลแวร์ที่มีการค้นพบเมื่อเดือนเมษายน 2022 ถูกพัฒนาขึ้นโดยทีม Conti เพื่อแทนที่ BazarLoader backdoor ใช้สำหรับการเข้าถึงเครือข่ายและดำเนินการติดตั้งแรนซัมแวร์ โดยกำหนดเป้าหมายระดับองค์กร มีการแพร่กระจายผ่าน Google Ads และการโปรโมทซอฟต์แวร์ยอดนิยม เช่น Zoom, Cisco AnyConnect, ChatGPT และ Citrix Workspace ที่ถูกทำให้ติดอันดับการค้นหา
Google Ads เป็นแพลตฟอร์มช่วยโปรโมทโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา
ในเดือนกันยายน 2022 มีการค้นพบตัวติดตั้งมัลแวร์เวอร์ชันใหม่ โดยใช้วิธีการโจมตีเฟรมเวิร์ก PowerSploit สำหรับแทรก DLL เข้าไปในหน่วยความจำเพื่อหลบหลีกการถูกตรวจพบโดยผลิตภัณฑ์ป้องกันไวรัส
นักวิจัยจาก Secureworks ได้ค้นพบ Google Ads ที่มีการโปรโมทหน้าดาวน์โหลดโปรแกรม Cisco AnyConnect Secure Mobility Client ปลอมที่ถูกสร้างขึ้นในวันพฤหัสบดีที่ 16 กุมภาพันธ์ 2023 ด้วยโฮสต์ที่อยู่บนโดเมน "appcisco[.]com" โดย SecureWorks กล่าวว่า “ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วย Google Ads ที่เป็นอันตรายส่งผู้ใช้ไปยังหน้าดาวน์โหลดปลอมนี้ผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก"
หน้าเว็บไซต์ปลอมที่มีการโปรโมทมัลแวร์โทรจันไฟล์ MSI ที่มีชื่อว่า "cisco-anyconnect-4_9_0195.msi" ถูกใช้เพื่อติดตั้งมัลแวร์ BumbleBee โดยเมื่อดำเนินการจะมีการสร้างสำเนาของตัวติดตั้งโปรแกรมของจริงและปลอม (cisco2.ps1) และสคริปต์ Powershell จะถูกคัดลอกลงบนเครื่องผู้ใช้งาน
CiscoSetup.