บริษัทด้านความปลอดภัยทางไซเบอร์ Deep Instinct กำลังติดตามมัลแวร์ใหม่ที่ชื่อ PindOS ซึ่งชื่อนี้อยู่ในสตริงของ "User-Agent"

โดย Bumblebee และ IcedID ทำหน้าที่เป็น loaders เพื่อเป็น Attack Vector สำหรับมัลแวร์ตัวอื่น ๆ บนเครื่องโฮสต์ที่ถูกโจมตี รวมไปถึงการทำงานของ ransomware ด้วย โดยรายงานล่าสุดจาก Proofpoint ระบุว่า IcedID ยกเลิกคุณสมบัติการฉ้อโกงทางธนาคารเพื่อมุ่งเน้นไปที่เฉพาะการส่งมัลแวร์เพียงอย่างเดียว

(more…)

พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee

 

 

 

 

 

 

 

Bumblebee เป็นตัวติดตั้งมัลแวร์ที่มีการค้นพบเมื่อเดือนเมษายน 2022 ถูกพัฒนาขึ้นโดยทีม Conti เพื่อแทนที่ BazarLoader backdoor ใช้สำหรับการเข้าถึงเครือข่ายและดำเนินการติดตั้งแรนซัมแวร์ โดยกำหนดเป้าหมายระดับองค์กร มีการแพร่กระจายผ่าน Google Ads และการโปรโมทซอฟต์แวร์ยอดนิยม เช่น Zoom, Cisco AnyConnect, ChatGPT และ Citrix Workspace ที่ถูกทำให้ติดอันดับการค้นหา

Google Ads เป็นแพลตฟอร์มช่วยโปรโมทโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

ในเดือนกันยายน 2022 มีการค้นพบตัวติดตั้งมัลแวร์เวอร์ชันใหม่ โดยใช้วิธีการโจมตีเฟรมเวิร์ก PowerSploit สำหรับแทรก DLL เข้าไปในหน่วยความจำเพื่อหลบหลีกการถูกตรวจพบโดยผลิตภัณฑ์ป้องกันไวรัส

นักวิจัยจาก Secureworks ได้ค้นพบ Google Ads ที่มีการโปรโมทหน้าดาวน์โหลดโปรแกรม Cisco AnyConnect Secure Mobility Client ปลอมที่ถูกสร้างขึ้นในวันพฤหัสบดีที่ 16 กุมภาพันธ์ 2023 ด้วยโฮสต์ที่อยู่บนโดเมน "appcisco[.]com" โดย SecureWorks กล่าวว่า “ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วย Google Ads ที่เป็นอันตรายส่งผู้ใช้ไปยังหน้าดาวน์โหลดปลอมนี้ผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก"

 

 

 

 

 

 

 

 

 

หน้าเว็บไซต์ปลอมที่มีการโปรโมทมัลแวร์โทรจันไฟล์ MSI ที่มีชื่อว่า "cisco-anyconnect-4_9_0195.msi" ถูกใช้เพื่อติดตั้งมัลแวร์ BumbleBee โดยเมื่อดำเนินการจะมีการสร้างสำเนาของตัวติดตั้งโปรแกรมของจริงและปลอม (cisco2.ps1) และสคริปต์ Powershell จะถูกคัดลอกลงบนเครื่องผู้ใช้งาน

 

 

 

 

 

CiscoSetup.