Russiske hackere bruker falsk CAPTCHA via ClickFix for å distribuere ny LOSTKEYS-malware. SonicWall utgir sikkerhetsoppdateringer for tre kritiske sårbarheter i SMA 100-enheter. Falske verktøy brukt til å spre Noodlophile skadevare – over 62 000 rammet via Facebook-lokkemidler.
Russiske hackere bruker falsk CAPTCHA via ClickFix for å distribuere ny LOSTKEYS-malware
Den russisk-støttede hackergruppen COLDRIVER (også kjent som Callisto, Star Blizzard og UNC4057) har blitt observert i en ny spionasjekampanje der de distribuerer skadevaren LOSTKEYS ved hjelp av en sosial manipulasjonsteknikk kalt ClickFix. Angrepene starter med en falsk CAPTCHA-verifisering på en lokkeside, hvor ofrene blir instruert til å åpne Windows' Kjør-dialog og lime inn en PowerShell-kommando. Denne kommandoen laster ned og kjører ytterligere skript som til slutt aktiverer LOSTKEYS-malwaren. LOSTKEYS er i stand til å stjele filer fra en forhåndsdefinert liste over filtyper og kataloger, samt sende systeminformasjon og kjørende prosesser tilbake til angriperen. Malwaren ble observert i angrep i januar, mars og april 2025, rettet mot nåværende og tidligere rådgivere til vestlige regjeringer og militærer, samt journalister, tenketanker og NGO-er. Personer med tilknytning til Ukraina har også vært mål. Google oppdaget ytterligere LOSTKEYS-artefakter tilbake til desember 2023, forkledd som binærfiler relatert til Maltego-plattformen, men det er uklart om disse er knyttet til COLDRIVER.
SonicWall utgir sikkerhetsoppdateringer for tre kritiske sårbarheter i SMA 100-enheter
SonicWall har utgitt sikkerhetsoppdateringer for å adressere tre alvorlige sårbarheter i sine Secure Mobile Access (SMA) 100-serie enheter, inkludert modellene SMA 200, 210, 400, 410 og 500v. Disse sårbarhetene kan utnyttes av en fjernangriper med SSL-VPN-brukerrettigheter til å oppnå ekstern kodekjøring på root-nivå. Ved å kombinere disse sårbarhetene kan en angriper gjøre følsomme systemkataloger skrivbare, eskalere privilegier til administratornivå og skrive kjørbare filer til systemkataloger, noe som resulterer i full kontroll over enheten. Spesielt er CVE-2025-32819 vurdert som en omgåelse av en tidligere identifisert feil rapportert av NCC Group i desember 2021, og det er indikasjoner på at denne sårbarheten kan ha blitt utnyttet som en zero-day. Sårbarhetene er adressert i programvareversjon 10.2.1.15-81sv.
Det anbefales sterkt at alle brukere av SMA 100-serien oppdaterer til programvareversjon 10.2.1.15-81sv umiddelbart for å beskytte mot potensielle angrep. Videre bør organisasjoner gjennomgå sine sikkerhetsprotokoller for å sikre at kun autoriserte brukere har tilgang til SSL-VPN, og overvåke systemene for uvanlig aktivitet som kan indikere forsøk på utnyttelse.
Falske verktøy brukt til å spre Noodlophile skadevare – over 62 000 rammet via Facebook-lokkemidler
En ny skadevarekampanje er avslørt av Morphisec, hvor nettkriminelle bruker falske AI-verktøy og Facebook-annonser for å lokke brukere til å laste ned Noodlophile Stealer. Skadevaren stjeler nettleserpassord, kryptolommebøker og kan gi angripere fjernstyrt tilgang via XWorm. Kampanjen benytter nettsider som virker ekte og lokker spesielt kreative brukere og småbedrifter med gratis bilde- og videoredigering drevet av kunstig intelligens. Angrepet skjer i flere steg, og skadevaren distribueres via passordbeskyttede ZIP-filer og skjulte filer med tilsynelatende harmløse navn. Informasjon stjålet fra ofre sendes via en Telegram-bot. Morphisec har koblet utvikleren av skadevaren til Vietnam og identifisert Facebook-profiler som promoterer den direkte. Det anbefales å unngå nedlasting av verktøy fra sosiale medier og alltid sjekke filer med sikkerhetsverktøy som VirusTotal før installasjon.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.