Η 检查点研究(CPR) 观察新的运动 恶意软件 利用其验证 微软数字签名 窃取受害者的敏感信息。
Μ与名字 加载器,恶意软件是其中之一 银行木马 他使用的 网络注入 偷 cookie、密码 以及任何敏感信息。
“ 加载器 已经知道在过去已经转移ι 勒索软件 并在她的雷达上被发现 2021 年 XNUMX 月的 CISA 作为负责其分发的方法 勒索软件 Conti. 同月,微软表示其运营商 加载器 购买的广告 谷歌关键词 分发各种恶意软件主管,包括 勒索软件Ryuk.
今天, 心肺复苏术 发布一份报告,详细说明它的再现 加载器 在一场已经接管的竞选活动中 2.000 个国家的 111 名受害者。 该 心肺复苏术 将此活动归因于网络犯罪集团 毒烟.
攻击如何进行
1. 攻击开始于安装一个伪装成安装的合法远程管理程序 爪哇岛
2. 安装完成后,犯罪者可以完全访问系统,并且可以 上传/下载文件 并且还运行脚本,因此攻击者上传并执行一些脚本,下载更多运行脚本的脚本 可执行文件 与文件 应用程序Contast.dll 作为参数
3.文件 应用程序Contast.dll 签署人 微软, 尽管在文件末尾添加了更多信息
4.附加信息下载并执行最终的payload 加载器,窃取用户凭据和个人信息 来自受害者
受害者
迄今为止,该 心肺复苏术 已记录 2170 独特的受害者。 大多数受害者住在 美国, 其次是 加拿大和印度.
报告:
Η 心肺复苏术 鉴于与之前的活动有一些相似之处,估计该活动背后的网络犯罪分子是 Malsmoke。
启示:
Η 心肺复苏术 告诉她 微软和 Atera 为它的发现。
Ο 科比艾森克拉夫特,Check Point 恶意软件研究员说:
我们将攻击归因于的攻击者是 毒烟,他们试图从受害者那里窃取用户的凭据和个人信息。 到目前为止,我们已经数过 2.170 个国家的 111 名受害者 我们继续。 总的来说,这场运动的肇事者似乎 加载器 努力避免被发现并继续每周更新他们的方法。
我敦促用户应用其更新 微软 进行严格验证 认证码,因为它不是默认安装的。
安全提示
- 应用 Microsoft Update 进行严格验证 认证码. 默认不适用。
- 不要安装来自未知来源或站点的程序。
- 不要打开通过邮件收到的链接和未知附件。
新闻稿
不要忘记关注它 小米miui.gr 在 谷歌新闻 立即获悉我们所有的新文章! 如果您使用 RSS 阅读器,您也可以通过点击此链接将我们的页面添加到您的列表中 >> https://news.xiaomi-miui.gr/feed/gn
跟着我们 Telegram 让您第一时间了解我们的每一条消息!