Black Basta-Ransomware-Gruppe führt Social Engineering-Kampagne durch

Titel: Black Basta-Linked Attackers zielen auf Benutzer mit SystemBC-Malware ab

Eine laufende Social-Engineering-Kampagne mit angeblichen Verbindungen zur Black Basta-Ransomware-Gruppe wurde mit “mehreren Eindringversuchen” in Verbindung gebracht, die darauf abzielen, Anmeldeinformationen zu stehlen und einen Malware-Dropper namens SystemBC zu implementieren.

“Der anfängliche Köder, der von den Angreifern genutzt wird, bleibt derselbe: eine E-Mail-Bombe gefolgt von einem Versuch, betroffenen Benutzern eine falsche Lösung anzubieten”, sagte Rapid7 und fügte hinzu, dass “externe Anrufe in der Regel über Microsoft Teams an die betroffenen Benutzer getätigt wurden.”

Die Angriffskette überzeugt den Benutzer dann, eine legitime Fernzugriffssoftware namens AnyDesk herunterzuladen und zu installieren, die als Kanal für die Implementierung von Nachfolge-Payloads und die Exfiltration sensibler Daten dient.

Dies umfasst die Verwendung einer ausführbaren Datei namens “AntiSpam.exe”, die vorgibt, E-Mail-Spam-Filter herunterzuladen, und die Benutzer auffordert, ihre Windows-Anmeldeinformationen einzugeben, um das Update abzuschließen.

Dieser Schritt wird durch die Ausführung mehrerer Binärdateien, DLL-Dateien und PowerShell-Skripte, einschließlich eines auf Golang basierenden HTTP-Beacons, der Kontakt zu einem Remote-Server herstellt, einem SOCKS-Proxy und SystemBC, gefolgt.

Um das durch die Bedrohung verursachte Risiko zu mindern, wird empfohlen, alle nicht genehmigten Remote-Desktop-Lösungen zu blockieren und auf verdächtige Telefonanrufe und Textnachrichten zu achten, die vorgeben, von internen IT-Mitarbeitern zu stammen.

Die Offenlegung erfolgt, da SocGholish (auch bekannt als FakeUpdates), GootLoader und Raspberry Robin im Jahr 2024 als die am häufigsten beobachteten Loader-Strains hervorgetreten sind, die dann als Sprungbrett für Ransomware dienen, so Daten von ReliaQuest.

“GootLoader ist neu auf der Top-Three-Liste in diesem Jahr und ersetzt QakBot, da dessen Aktivität abnimmt”, sagte das Cybersicherheitsunternehmen.

“Malware-Loader werden häufig in dunklen Web-Cyberkriminellen-Foren wie XSS und Exploit beworben, wo sie Cyberkriminellen angeboten werden, die Netzwerkeindringungen und die Bereitstellung von Payloads erleichtern möchten. Diese Loader werden oft über Abonnementmodelle angeboten, wobei monatliche Gebühren Zugang zu regelmäßigen Updates, Support und neuen Funktionen gewähren, die darauf ausgelegt sind, eine Erkennung zu vermeiden.”

Ein Vorteil dieses auf Abonnements basierenden Ansatzes ist, dass er es auch Bedrohungsakteuren mit begrenzten technischen Kenntnissen ermöglicht, anspruchsvolle Angriffe durchzuführen.

Phishing-Angriffe haben auch beobachtet, dass sie eine Information-Stehl-Malware namens 0bj3ctivity Stealer mithilfe eines anderen Loaders namens Ande Loader im Rahmen eines mehrschichtigen Verteilungsmechanismus ausliefern.

“Die Verbreitung der Malware durch verschleierte und verschlüsselte Skripte, Speichereinspritzungstechniken und die kontinuierliche Verbesserung von Ande Loader mit Funktionen wie Anti-Debugging und Zeichenfolgenverschleierung unterstreichen die Notwendigkeit fortschrittlicher Erkennungsmechanismen und kontinuierlicher Forschung”, sagte eSentire.

Diese Kampagnen sind nur die neuesten in einer Reihe von Phishing- und Social-Engineering-Angriffen, die in den letzten Wochen aufgedeckt wurden, auch wenn Bedrohungsakteure zunehmend gefälschte QR-Codes für bösartige Zwecke einsetzen –

Eine ClearFake-Kampagne, die kompromittierte Webseiten nutzt, um .NET-Malware unter dem Vorwand des Herunterladens eines Google Chrome-Updates zu verbreiten

Eine Kampagne, die gefälschte Websites verwendet, die sich als HSBC, Santander, Virgin Money und Wise ausgeben, um Windows- und macOS-Benutzern eine Kopie der AnyDesk Remote Monitoring and Management (RMM)-Software zu servieren, die dann zur Diebstahl sensibler Daten verwendet wird

Eine gefälschte Website (“win-rar[.]co”), die scheinbar WinRAR verteilt, die zur Bereitstellung von Ransomware, Kryptowährungs-Miner und Information-Stehl-Malware namens Kematian Stealer verwendet wird, die auf GitHub gehostet sind

Eine Social-Media-Malvertising-Kampagne, die Facebook-Seiten übernimmt, um eine scheinbar legitime KI-Foto-Editor-Website durch bezahlte Anzeigen zu bewerben, die Opfer dazu verleiten, das RMM-Tool von ITarian herunterzuladen und zu verwenden, um Lumma Stealer zu liefern

“Die Ausrichtung von Social-Media-Benutzern für bösartige Aktivitäten unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen zum Schutz von Kontozugangsdaten und zur Verhinderung unbefugten Zugriffs”, sagten Trend Micro-Forscher.

Quelle: https://ift.tt/fOlQY9V

Trending Posts

Über uns

MyCubeServer – Ihr vertrauenswürdiger Partner für fortschrittliche Cloud-Lösungen. Wir bieten maßgeschneiderte IT-Services und Datenschutz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.”

“Bei MyCubeServer steht Innovation im Mittelpunkt. Unsere Expertise in Cloud-Technologie und Cybersicherheit macht uns zum perfekten Begleiter für Ihre digitale Transformation.”

“MyCubeServer – Wir gestalten die Zukunft Ihrer IT-Landschaft. Verlassen Sie sich auf unsere Erfahrung und modernste Lösungen für Ihre Unternehmensanforderungen.

Folge uns

-Weg von alten Schubladen-

Deine Chance -

Angesagtes

Newsletter

Kategorien

Edit Template

Produkte & Lösungen

SkySphere Cloud
SkySphere Connect
CubeSecurity
Support & Services

© 2023 MyCubeServer. Alle Rechte vorbehalten.
Datenschutzrichtlinien | AGB´sNutzungsbedingungen | Impressum