Ein weiterer Infostealer mit Backdoor-Funktionen wurde Ende Juli entdeckt. Malware-Autoren werben in russischen Cybercrime-Foren dafür und verkaufen verschiedene Modifikationen der Utility zu einem erschwinglichen Preis. Der neue Infostealer ist in C++ geschrieben und wurde von seinen Autoren PurpleWave genannt. Die Malware kann eine Reihe von bösartigen Aktionen ausführen, die ein Hacker auf dem angegriffenen System […]
Erkennungsinhalt: Drovorub-Malware
Letzte Woche veröffentlichten das FBI und die NSA eine gemeinsame Sicherheitswarnung mit Details über die Drovorub-Malware, einem neuen Werkzeug in den Händen der APT28. Dies ist eine Linux-Malware, die verwendet wird, um Hintertüren in kompromittierten Netzwerken zu installieren. Die Malware ist ein mehrkomponentiges System, das aus einem Kernel-Modul-Rootkit, einem Implantat, einem C&C-Server, einem Port-Forwarding-Modul und […]
Bedrohungsjagdregeln: Mögliche C2-Verbindung über DoH
Es ist ein Jahr her, seit der erste Malware zögerlich DNS-over-HTTPS (DoH) ausnutzte, um die IPs für die Command-and-Control-Infrastruktur abzurufen. Sicherheitsforscher hatten bereits gewarnt, dass dies ein ernstes Problem sein könnte und begannen nach einer Lösung zu suchen, die helfen würde, solch bösartigen Datenverkehr zu erkennen. Immer mehr verwendet DoH-Verkehr, weil dieses Protokoll von Chrome […]
Erkennungsinhalt: Mekotio Banking-Trojaner
Mekotio ist ein weiterer lateinamerikanischer Banking-Trojaner der hauptsächlich auf Benutzer in Brasilien, Mexiko, Spanien, Chile, Peru und Portugal abzielt. Dies ist eine persistente Malware, die über Phishing-E-Mails verbreitet wird und Persistenz entweder durch Erstellen einer LNK-Datei im Startordner oder durch die Verwendung eines Run-Schlüssels sicherstellt. Es ist in der Lage, Kryptowährungen von einem gezielten Benutzer […]
Bedrohungsjagd-Regeln: Gamaredon Group Verhalten
Die Gamaredon-Gruppe tauchte 2013 auf und verwendete zunächst keine maßgeschneiderte Malware, entwickelte jedoch im Laufe der Zeit eine Reihe von Cyber-Spionage-Tools, darunter Pterodo und EvilGnome Malware. In den letzten Monaten hat die Gruppe aktiv Phishing-E-Mails gesendet mit Dokumenten, die bösartige Makros enthalten, die eine Vielzahl verschiedener Malware-Varianten herunterladen. Die Gamaredon-Gruppe verwendet sehr einfache Tools, die […]
Erkennung der Ausnutzung von CVE-2020-17506 und CVE-2020-17505 (Artica Proxy)
Mit dem heutigen Beitrag möchten wir Sie über mehrere kürzlich entdeckte Schwachstellen in Artica Proxy informieren, einem System, das es Benutzern mit grundlegenden technischen Fähigkeiten ermöglicht, einen Proxy-Server im transparenten Modus zu verwalten, sowie eine Verbindung zu AD und OpenLDAP, Version 4.30, herzustellen. Die frisch gemeldete CVE-2020-17506 Schwachstelle von Artica Proxy ermöglicht es Hackern, die […]
Erkennung Inhalt: CVE-2019-16759 Ausnutzung mit neuer Methode
Heute möchten wir auf die CVE-2019-16759-Schwachstelle in vBulletin hinweisen, der am häufigsten verwendeten Forensoftware, beobachtet für Version 5 und höher. Die Schwachstelle bietet Hackern die Möglichkeit, über den Parameter widgetConfig[code] in einer HTTP-POST-Anfrage Remote-Befehle auszuführen und je nach Benutzerberechtigungen in vBulletin die Kontrolle über den Host zu erhalten. Die CVE-2019-16759 wurde im September 2019 als […]
Erkennungsinhalt: LokiBot-Detektor
In unserem heutigen Beitrag möchten wir unsere Leser an den LokiBot-Infostealer erinnern, der Hintertüren in das Windows-Betriebssystem des Opfers schafft und Betrügern ermöglicht, sensible Daten zu stehlen und sogar verschiedene Payloads einzubringen. Der LokiBot-Infostealer gelangt durch malspam-Kampagnen zu den Opfern, die oft als vertrauenswürdige Absender getarnt sind und ein angehängtes Dokument enthalten, das den Empfänger […]
Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne
In den heutigen Nachrichten möchten wir Sie über die laufende Kampagne von Water Nue warnen, die auf Geschäftskonten von Office 365 in den USA und Kanada abzielt. Bemerkenswerterweise erreichten die Betrüger weltweit eine Reihe von hochrangigen Managern in Unternehmen und erbeuteten über 800 Anmeldedatensätze. Obwohl ihr Phishing-Toolset begrenzt ist, verwenden sie keine Trojaner oder Hintertüren […]
Erkennungsinhalt: FTCode Ransomware
Heute möchten wir Ihre Aufmerksamkeit auf eine weitere Ransomware lenken, die auf Italienisch sprechende Nutzer abzielt. Erstmals von Forschern im Jahr 2013 entdeckt, ist FTCode eine auf PowerShell basierende Ransomware, die über Spam verteilt wird. Bei den jüngsten Angriffen wurde die FTCode-Ransomware über eine E-Mail an die Opfermaschinen zugestellt, die einen Anhang enthält, der vorgibt, […]