Eine laufende Social-Engineering-Kampagne mit angeblichen Verbindungen zur Black Basta-Ransomware-Gruppe wurde mit “mehreren Eindringversuchen” in Verbindung gebracht, die darauf abzielen, Anmeldeinformationen zu stehlen und einen Malware-Dropper namens SystemBC zu implementieren.
“Der anfängliche Köder, der von den Angreifern genutzt wird, bleibt derselbe: eine E-Mail-Bombe gefolgt von einem Versuch, betroffenen Benutzern eine falsche Lösung anzubieten”, sagte Rapid7 und fügte hinzu, dass “externe Anrufe in der Regel über Microsoft Teams an die betroffenen Benutzer getätigt wurden.”
Die Angriffskette überzeugt den Benutzer dann, eine legitime Fernzugriffssoftware namens AnyDesk herunterzuladen und zu installieren, die als Kanal für die Implementierung von Nachfolge-Payloads und die Exfiltration sensibler Daten dient.
Dies umfasst die Verwendung einer ausführbaren Datei namens “AntiSpam.exe”, die vorgibt, E-Mail-Spam-Filter herunterzuladen, und die Benutzer auffordert, ihre Windows-Anmeldeinformationen einzugeben, um das Update abzuschließen.
Dieser Schritt wird durch die Ausführung mehrerer Binärdateien, DLL-Dateien und PowerShell-Skripte, einschließlich eines auf Golang basierenden HTTP-Beacons, der Kontakt zu einem Remote-Server herstellt, einem SOCKS-Proxy und SystemBC, gefolgt.
Um das durch die Bedrohung verursachte Risiko zu mindern, wird empfohlen, alle nicht genehmigten Remote-Desktop-Lösungen zu blockieren und auf verdächtige Telefonanrufe und Textnachrichten zu achten, die vorgeben, von internen IT-Mitarbeitern zu stammen.
Die Offenlegung erfolgt, da SocGholish (auch bekannt als FakeUpdates), GootLoader und Raspberry Robin im Jahr 2024 als die am häufigsten beobachteten Loader-Strains hervorgetreten sind, die dann als Sprungbrett für Ransomware dienen, so Daten von ReliaQuest.
“GootLoader ist neu auf der Top-Three-Liste in diesem Jahr und ersetzt QakBot, da dessen Aktivität abnimmt”, sagte das Cybersicherheitsunternehmen.
“Malware-Loader werden häufig in dunklen Web-Cyberkriminellen-Foren wie XSS und Exploit beworben, wo sie Cyberkriminellen angeboten werden, die Netzwerkeindringungen und die Bereitstellung von Payloads erleichtern möchten. Diese Loader werden oft über Abonnementmodelle angeboten, wobei monatliche Gebühren Zugang zu regelmäßigen Updates, Support und neuen Funktionen gewähren, die darauf ausgelegt sind, eine Erkennung zu vermeiden.”
Ein Vorteil dieses auf Abonnements basierenden Ansatzes ist, dass er es auch Bedrohungsakteuren mit begrenzten technischen Kenntnissen ermöglicht, anspruchsvolle Angriffe durchzuführen.
Phishing-Angriffe haben auch beobachtet, dass sie eine Information-Stehl-Malware namens 0bj3ctivity Stealer mithilfe eines anderen Loaders namens Ande Loader im Rahmen eines mehrschichtigen Verteilungsmechanismus ausliefern.
“Die Verbreitung der Malware durch verschleierte und verschlüsselte Skripte, Speichereinspritzungstechniken und die kontinuierliche Verbesserung von Ande Loader mit Funktionen wie Anti-Debugging und Zeichenfolgenverschleierung unterstreichen die Notwendigkeit fortschrittlicher Erkennungsmechanismen und kontinuierlicher Forschung”, sagte eSentire.
Diese Kampagnen sind nur die neuesten in einer Reihe von Phishing- und Social-Engineering-Angriffen, die in den letzten Wochen aufgedeckt wurden, auch wenn Bedrohungsakteure zunehmend gefälschte QR-Codes für bösartige Zwecke einsetzen –
Eine ClearFake-Kampagne, die kompromittierte Webseiten nutzt, um .NET-Malware unter dem Vorwand des Herunterladens eines Google Chrome-Updates zu verbreiten
Eine Kampagne, die gefälschte Websites verwendet, die sich als HSBC, Santander, Virgin Money und Wise ausgeben, um Windows- und macOS-Benutzern eine Kopie der AnyDesk Remote Monitoring and Management (RMM)-Software zu servieren, die dann zur Diebstahl sensibler Daten verwendet wird
Eine gefälschte Website (“win-rar[.]co”), die scheinbar WinRAR verteilt, die zur Bereitstellung von Ransomware, Kryptowährungs-Miner und Information-Stehl-Malware namens Kematian Stealer verwendet wird, die auf GitHub gehostet sind
Eine Social-Media-Malvertising-Kampagne, die Facebook-Seiten übernimmt, um eine scheinbar legitime KI-Foto-Editor-Website durch bezahlte Anzeigen zu bewerben, die Opfer dazu verleiten, das RMM-Tool von ITarian herunterzuladen und zu verwenden, um Lumma Stealer zu liefern
“Die Ausrichtung von Social-Media-Benutzern für bösartige Aktivitäten unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen zum Schutz von Kontozugangsdaten und zur Verhinderung unbefugten Zugriffs”, sagten Trend Micro-Forscher.
Quelle: https://ift.tt/fOlQY9V