Panaliti kami mendakan versi énggal tina kulawarga Ducktail malware. Cybercriminals ngagunakeun éta pikeun nargétkeun karyawan perusahaan anu ngagaduhan posisi anu cukup senior atanapi damel di HR, pamasaran digital atanapi pamasaran média sosial. Tujuan utama maranéhanana nyaéta pikeun ngabajak akun Facebook Business, janten masuk akal yén panyerang bakal resep ka jalma anu paling dipikaresep gaduh aksés kana akun éta. Kiwari, urang ngobrol ngeunaan kumaha serangan lumangsung, naon ilahar ngeunaan eta, sarta tangtu, kumaha carana ngajaga diri.

Umpan sareng beban bahaya

Anu dilakukeun ku cybercriminals tukangeun Ducktail nyaéta ngirim file jahat ka calon korban. Pikeun lull vigilance panarima, arsip ieu ngandung eupan dina bentuk file gambar jeung video dumasar-tema dina topik anu sarua. Contona, téma kampanye panganyarna (Maret nepi ka awal Oktober 2023) nyaéta fashion: surelek dikirim atas nama pamaén industri fashion utama jeung arsip ngandung poto barang pakean.

Nanging, dina arsip ieu ogé aya file anu tiasa dieksekusi. File ieu ngagaduhan ikon PDF sareng nami file anu panjang pisan pikeun ngaganggu korban tina ekstensi EXE. Salaku tambahan, nami file palsu sigana dipilih sacara saksama pikeun relevansi supados ngadorong panampi pikeun ngaklikana. Dina kampanye fashion-themed, aranjeunna nujul kana “tungtunan sarta sarat pikeun calon”, tapi baits séjén kayaning, Contona, daptar harga atawa nawaran komérsial, ogé bisa dipaké.

Eusi arsip Ducktail bahaya

Arsip Ducktail jahat ngandung file anu siga PDF tapi sabenerna EXEs

Saatos ngaklik dina file EXE disguised, naskah jahat dijalankeun dina alat target. Kahiji, eta mintonkeun eusi sababaraha file PDF napel kode malware, dina harepan yén korban teu bau beurit. Dina waktos anu sami, malware nyeken sadaya potong kompas dina desktop, menu Start, sareng toolbar Quick Launch. Éta milarian potong kompas ka browser basis Chromium, sapertos Google Chrome, Microsoft Edge, Vivaldi, Brave… Saatos mendakanana, malware ngarobih garis paréntahna ku nambihan petunjuk pikeun masang ekstensi browser, anu ogé dipasang dina file anu tiasa dieksekusi. . Lima menit ti harita, skrip jahat ngeureunkeun prosés browser, naroskeun pangguna pikeun ngamimitian deui nganggo salah sahiji potong kompas anu dirobih.

Ekstensi browser jahat

Sakali pangguna ngaklik potong kompas, ekstensi jahat dipasang dina browser, anu sacara ngayakinkeun nyamar salaku Google Docs Offline, nganggo ikon sareng pedaran anu sami (sanaos ngan ukur dina basa Inggris, anu tiasa nunjukkeun palsu di sababaraha daérah).

Ekstensi browser jahat

Ekstensi jahat anu masquerading salaku Google Docs Offline (kénca), sareng ekstensi Google Docs Offline anu saleresna (katuhu) dina browser Google Chrome.

Sakali dipasang sareng jalan, ekstensi jahat mimiti ngawaskeun sadaya tab anu dibuka ku pangguna dina browser sareng ngirim inpormasi ngeunaan éta ka server C2 panyerang. Upami éta mendakan alamat anu aya hubunganana sareng Facebook di antara tab anu dibuka, ekstensi jahat bakal mariksa akun Iklan sareng Usaha anjeun sareng ngabajakna.

Ekstensi ieu nyolong inpormasi tina akun Facebook anu asup kana alat korban, kitu ogé cookies sési aktip anu disimpen ku browser, anu tiasa dianggo pikeun log in akun tanpa auténtikasi.

Grup tukangeun malware ieu dilaporkeun geus aktip saprak 2018. Sababaraha tim panalungtikan yakin malware asalna ti Vietnam. Distribusi Ducktail ku grup tiasa ditangtukeun dugi ka 2021.

Kumaha ngajaga ngalawan Ducktails

Pikeun ngajaga ngalawan Ducktail sareng ancaman anu sami, karyawan ngan ukur kedah nengetan kabersihan digital dasar; khususna:

  • Ulah unduh arsip anu curiga dina komputer kerja — khususna upami tautanna asalna tina sumber anu teu dipercaya.
  • Parios sacara saksama ekstensi sadaya file anu diunduh tina internét atanapi email sateuacan dibuka.
  • Tong pernah ngaklik file anu katingali sapertos dokumen anu teu bahaya tapi gaduh ekstensi EXE – ieu mangrupikeun tanda anu jelas tina malware.
  • Salawasna pasang panyalindungan dipercaya dina sadaya alat gawé. Ieu bakal ngingetkeun anjeun ngeunaan poténsi bahaya sareng ngelehkeun serangan dina waktosna. Solusi urang ngadeteksi ancaman ieu ku vonis Trojan.Win64.Ducktail.gen.
  • Anjeun tiasa mendakan indikator kompromi ogé detil téknis salajengna ngeunaan malware ieu dina tulisan blog Securelist masing-masing.


#Kumaha #Ducktail #maok #akun #Facebook

Hai sadayana,
Dinten ieu – sababaraha warta cybersecurity ngeunaan hiji kajadian anu urang nembé mendakan…

Ahli kami parantos mendakan serangan siber anu kompleks pisan sareng sasaran profésional nganggo alat sélulér Apple. Tujuan tina serangan éta nyaéta panempatan spyware anu teu jelas kana iPhone karyawan sahenteuna perusahaan urang – boh manajemén tengah sareng luhur.

Serangan éta dilaksanakeun nganggo iMessage anu teu katingali sareng kantétan jahat, anu ngagunakeun sababaraha kerentanan dina sistem operasi ios, dijalankeun dina alat sareng dipasang spyware. Panyebaran spyware lengkep disumputkeun sareng henteu peryogi tindakan ti pangguna. spyware lajeng surreptitiously ngirim inpo pribadi ka server jauh: rekaman mikropon, poto ti talatah instan, geolocations, sarta data ngeunaan sababaraha kagiatan sejenna nu boga alat nu kainféksi.

Sanajan serangan éta dipigawé cicingeun, inféksi dideteksi ku Kaspersky’s Integrated Monitoring and Analysis Platform (KUMA) – solusi SIEM aslina keur informasi kaamanan sarta manajemén acara; Sistem ngadeteksi anomali dina jaringan urang anu asalna tina alat Apple. Panaliti salajengna ku tim kami ngungkabkeun yén sababaraha belasan iPhones karyawan senior katépaan ku spyware énggal anu canggih anu kami namina “Triangulasi”.

Kusabab sifat katutup tina ios, teu aya (sareng teu kedah) alat sistem operasi standar pikeun ngadeteksi sareng ngahapus spyware ieu dina smartphone anu kainféksi. Jang ngalampahkeun ieu, hiji alat éksternal diperlukeun.

Indikasi teu langsung tina Triangulasi dina alat nganonaktipkeun kamampuan pikeun ngapdet ios. Pikeun pangakuan anu langkung akurat sareng dipercaya tina inféksi anu saleresna, anjeun kedah nyiptakeun salinan cadangan alat teras parios deui nganggo utilitas khusus. Rekomendasi anu langkung lengkep dijelaskeun dina tulisan téknis ieu ngeunaan Securelist. Kami ogé ngembangkeun utilitas deteksi gratis sareng bakal sayogi saatos tés.

Alatan peculiarities tangtu alamiah dina blocking apdet ios dina alat kainféksi, urang teu kapanggih cara éféktif pikeun miceun spyware tanpa kaleungitan data pamaké. Éta ngan ukur tiasa dilakukeun ku ngareset iPhone anu kainféksi kana setélan pabrik sareng masang versi panganyarna tina sistem operasi sareng sakumna lingkungan pangguna ti mimiti. Upami teu kitu, sanajan spyware dicabut tina mémori alat sanggeus reboot a, Triangulation masih bisa reinfect eta via vulnerabilities dina versi heubeul tina ios.

Laporan kami ngeunaan Triangulasi ngan ukur awal panalungtikan ngeunaan serangan canggih ieu. Dinten ieu kami nyebarkeun hasil analisa munggaran, tapi masih seueur padamelan anu kedah dilakukeun. Salaku kajadian terus ditalungtik, urang bakal ngamutahirkeun data anyar dina pos dedicated on Securelist, sarta baris babagi papanggihan lengkep urang dina Summit analis Kaamanan Internasional dina Oktober (tuturkeun warta dina situs).

Kami yakin Kaspersky sanes udagan utama serangan cyber ieu. Poé-poé anu bakal datang bakal langkung jelas sareng langkung rinci ngeunaan proliferasi spyware ieu di sakumna dunya.

Kami yakin yén alesan utama pikeun kajadian ieu nyaéta sifat proprietary ios. Sistem operasi mangrupikeun “kotak hideung”, dimana spyware sapertos Triangulation tiasa nyumput salami mangtaun-taun. Ngadeteksi sareng nganalisa ancaman sapertos kitu janten langkung hese ku monopoli Apple dina alat panalungtikan – ngajantenkeun éta tempat anu sampurna pikeun spyware. Kalayan kecap sanésna, sakumaha anu sering kuring nyarios, pangguna dibere ilusi kaamanan anu aya hubunganana sareng opacity pinuh ku sistem. Naon anu kajantenan dina ios teu dipikanyaho ku para ahli cybersecurity, sareng henteuna warta ngeunaan serangan henteu nunjukkeun yén mustahil – sakumaha anu ayeuna urang tingali.

Abdi hoyong ngingetkeun yén ieu sanés kasus serangan anu munggaran dina perusahaan kami. Kami sadar pisan yén kami damel di lingkungan anu agrésif pisan, sareng parantos ngembangkeun prosedur réspon kajadian anu pas. Hatur nuhun kana ukuran anu dilaksanakeun, perusahaan beroperasi sacara normal, prosés bisnis sareng data pangguna henteu kapangaruhan, sareng ancaman parantos nétralisasi. Urang terus ngajaga anjeun, sakumaha salawasna.

PS Naha “triangulasi”?

Pikeun mikawanoh spésifikasi parangkat lunak sareng hardware tina sistem anu diserang, Triangulasi nganggo téknologi Canvas Fingerprinting sareng ngagambar segitiga konéng dina mémori alat.


#Triangulasi #Trojan #pikeun #ios #Blog #resmi #Kaspersky

Serangan email anu dituju henteu dugi ka spear phishing sareng kompromi email bisnis (BEC). Ancaman serius séjénna nyaéta pangbajak paguneman. Pondokna, éta mangrupikeun skéma dimana panyerang ngalebetkeun dirina kana paguneman email bisnis sareng nyamar janten salah sahiji pamilon. Tulisan ieu nganalisa kumaha serangan sapertos kitu dianggo sareng naon anu kedah dilakukeun pikeun ngaminimalkeun kasempetan pikeun suksés.

Kumaha panyerang tiasa kéngingkeun aksés kana e-korrespondensi?

Pikeun asup kana paguneman email pribadi, penjahat cyber kedah kéngingkeun aksés kana kotak surat atanapi (sahenteuna) arsip pesen. Aya rupa-rupa trik anu tiasa dianggo pikeun ngahontal ieu.

Anu paling atra nyaéta hacking mailboxes. Pikeun jasa awan, sandi brute-force mangrupikeun metode pilihan: panyerang milarian kecap konci anu aya hubunganana sareng alamat email khusus dina bocor tina jasa online, teras cobian dina akun email padamelan. Éta pisan sababna naha penting, kahiji, teu make Kapercayaan sarua pikeun layanan béda, jeung Bréh, teu nyadiakeun alamat surélék karya nalika ngadaptar dina situs nu teu patali jeung karya anjeun. Métode alternatif nyaéta ngakses e-mail ngaliwatan kerentanan dina parangkat lunak server.

Penjahat jarang gaduh kadali kana alamat surélék gawé pikeun lila, tapi aranjeunna biasana boga cukup waktu pikeun ngundeur hiji arsip pesen. Kadang-kadang maranehna nyieun aturan diteruskeun dina setelan pikeun nampa surelek asup ka kotak surat sacara real waktu. Janten, aranjeunna ngan ukur tiasa maca pesen sareng henteu tiasa ngirim nanaon. Mun aranjeunna tiasa ngirim pesen, aranjeunna paling dipikaresep bakal nyobian serangan BEC.

Pilihan séjén nyaéta malware. Nembe kolega urang datang di sakuliah kampanye pangbajak paguneman massa aimed di infecting komputer jeung QBot Trojan. Surelek dimana penjahat cyber nampilkeun muatan jahatna paling dipikaresep ti korban saméméhna tina malware QBot anu sami (anu tiasa ngaksés arsip pesen lokal).

Tapi peretas gaya sorangan atanapi operator malware henteu kedah luncat kana paguneman pikeun ngabajak diri – kadang pesen anu diarsipkeun dijual dina wéb poék sareng dianggo ku scammers anu sanés.

Kumaha cara ngabajak paguneman?

Penjahat cyber ngajalajah arsip pesen pikeun email antara sababaraha perusahaan (mitra, kontraktor, supplier, jsb.). Tanggalna henteu masalah – scammers tiasa ngalaksanakeun paguneman anu lumangsung sababaraha taun ka pengker. Saatos mendakan bursa email anu cocog, aranjeunna nyerat ka salah sahiji pihak anu kalibet, nyamar salaku pihak anu sanés. Tujuanana nyaéta pikeun nipu jalma di sisi séjén pikeun ngalakukeun hiji hal anu dipénta ku panyerang. Sateuacan turun ka bisnis, aranjeunna kadang-kadang tukeur sababaraha pesen ngan ukur pikeun ngawaskeun hiji-hiji.

Kusabab paguneman hijacking nyaéta serangan sasaran, éta mindeng ngagunakeun domain sarupa; nyaeta, domain anu visually deukeut pisan salah sahiji pamilon tapi kalawan slight discrepancy – sebutkeun, domain tingkat luhur béda, hurup tambahan, atawa simbul nu ngagantikeun nu némbongan sarupa.

Surélék panyerang: mail

Surélék panyerang: hurup “n” némbongan tinimbang “m” dina ngaran domain.

Husus, naon anu dianggo pikeun ngabajak paguneman?

Tujuan tina obrolan pangbajak umumna rada banal: pikeun meunangkeun aksés ka sababaraha sumber ku maok Kapercayaan login; pikeun nipu korban pikeun ngirim duit ka akun panyerang; atawa nyieun korban muka kantétan jahat atawa nuturkeun tumbu ka situs kainféksi.

Kumaha carana nyegah pangbajak paguneman?

Ancaman utama anu ditimbulkeun ku pangbajak paguneman nyaéta yén email sapertos kitu hésé dideteksi ku cara otomatis. Kabeneran, arsenal kami kalebet Kaspersky Security pikeun Microsoft Office 365, solusi anu ngadeteksi usaha-usaha pikeun ngagabung sareng paguneman jalma sanés. Pikeun langkung ngirangan résiko pikeun anjeun sareng mitra bisnis anjeun, kami nyarankeun:

  • Ngajagi alat para karyawan supados langkung hese maok arsip pesen ti aranjeunna.
  • Paké sandi unik pikeun akun surelek gawe.
  • Ngaleutikan jumlah ladenan éksternal kadaptar pikeun alamat surélék dianggo.
  • Henteu ngan ukur ngarobih sandi saatos kajadian email, tapi ogé mariksa upami aya aturan neraskeun anu teu dihoyongkeun muncul dina setélan.


#Naon #téh #paguneman #hijacking #Blog #resmi #Kaspersky