Mekotio ist ein weiterer lateinamerikanischer Banking-Trojaner der hauptsächlich auf Benutzer in Brasilien, Mexiko, Spanien, Chile, Peru und Portugal abzielt. Dies ist eine persistente Malware, die ĂĽber Phishing-E-Mails verbreitet wird und Persistenz entweder durch Erstellen einer LNK-Datei im Startordner oder durch die Verwendung eines Run-SchlĂĽssels sicherstellt. Es ist in der Lage, Kryptowährungen von einem gezielten Benutzer […]
Bedrohungsjagd-Regeln: Gamaredon Group Verhalten
Die Gamaredon-Gruppe tauchte 2013 auf und verwendete zunächst keine maĂźgeschneiderte Malware, entwickelte jedoch im Laufe der Zeit eine Reihe von Cyber-Spionage-Tools, darunter Pterodo und EvilGnome Malware. In den letzten Monaten hat die Gruppe aktiv Phishing-E-Mails gesendet mit Dokumenten, die bösartige Makros enthalten, die eine Vielzahl verschiedener Malware-Varianten herunterladen. Die Gamaredon-Gruppe verwendet sehr einfache Tools, die […]
Erkennung der Ausnutzung von CVE-2020-17506 und CVE-2020-17505 (Artica Proxy)
Mit dem heutigen Beitrag möchten wir Sie ĂĽber mehrere kĂĽrzlich entdeckte Schwachstellen in Artica Proxy informieren, einem System, das es Benutzern mit grundlegenden technischen Fähigkeiten ermöglicht, einen Proxy-Server im transparenten Modus zu verwalten, sowie eine Verbindung zu AD und OpenLDAP, Version 4.30, herzustellen. Die frisch gemeldete CVE-2020-17506 Schwachstelle von Artica Proxy ermöglicht es Hackern, die […]
Erkennung Inhalt: CVE-2019-16759 Ausnutzung mit neuer Methode
Heute möchten wir auf die CVE-2019-16759-Schwachstelle in vBulletin hinweisen, der am häufigsten verwendeten Forensoftware, beobachtet fĂĽr Version 5 und höher. Die Schwachstelle bietet Hackern die Möglichkeit, ĂĽber den Parameter widgetConfig[code] in einer HTTP-POST-Anfrage Remote-Befehle auszufĂĽhren und je nach Benutzerberechtigungen in vBulletin die Kontrolle ĂĽber den Host zu erhalten. Die CVE-2019-16759 wurde im September 2019 als […]
Erkennungsinhalt: LokiBot-Detektor
In unserem heutigen Beitrag möchten wir unsere Leser an den LokiBot-Infostealer erinnern, der HintertĂĽren in das Windows-Betriebssystem des Opfers schafft und BetrĂĽgern ermöglicht, sensible Daten zu stehlen und sogar verschiedene Payloads einzubringen. Der LokiBot-Infostealer gelangt durch malspam-Kampagnen zu den Opfern, die oft als vertrauenswĂĽrdige Absender getarnt sind und ein angehängtes Dokument enthalten, das den Empfänger […]
Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne
In den heutigen Nachrichten möchten wir Sie ĂĽber die laufende Kampagne von Water Nue warnen, die auf Geschäftskonten von Office 365 in den USA und Kanada abzielt. Bemerkenswerterweise erreichten die BetrĂĽger weltweit eine Reihe von hochrangigen Managern in Unternehmen und erbeuteten ĂĽber 800 Anmeldedatensätze. Obwohl ihr Phishing-Toolset begrenzt ist, verwenden sie keine Trojaner oder HintertĂĽren […]
Erkennungsinhalt: FTCode Ransomware
Heute möchten wir Ihre Aufmerksamkeit auf eine weitere Ransomware lenken, die auf Italienisch sprechende Nutzer abzielt. Erstmals von Forschern im Jahr 2013 entdeckt, ist FTCode eine auf PowerShell basierende Ransomware, die ĂĽber Spam verteilt wird. Bei den jĂĽngsten Angriffen wurde die FTCode-Ransomware ĂĽber eine E-Mail an die Opfermaschinen zugestellt, die einen Anhang enthält, der vorgibt, […]
Regel der Woche: Missbrauch des Microsoft Teams Updaters
Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst ĂĽbernahm Zoom die FĂĽhrung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine groĂźe Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher […]
Threat Hunting Regeln: Ave Maria RAT
Der heutige Artikel ist gewissermaĂźen eine Fortsetzung von Detection Content: Arkei Stealer da der Autor der Erkennungsregel fĂĽr Ave Maria RAT derselbe ist und beide bösartigen Tools kĂĽrzlich aktiv ĂĽber das Spamhaus-Netzwerk verbreitet wurden. Ave Maria ist ein Remote Access Trojaner, der oft von Angreifern verwendet wird, um die infizierten Systeme zu ĂĽbernehmen und sie […]
Erkennungsinhalt: Arkei Stealer
Arkei Stealer ist eine Variante der Infostealer-Malware und seine Funktionalität ähnelt der Azorult-Malware: Er stiehlt sensible Informationen, Anmeldeinformationen und private SchlĂĽssel zu Kryptowährungs-Wallets. Die Malware wird in Untergrundforen verkauft, und jeder kann sowohl die „legitime“ Version als auch die geknackte Version des Arkei Stealers erwerben und verwenden, was es schwierig macht, Angriffe zuzuordnen. Der lauteste […]