Vedrørende tidligere utsending idag. Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep. Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare.
Vedrørende tidligere utsending idag
Telenor Cyberdefence beklager feilutsendingen av nyhetsbrevet tidligere i dag, her kommer dagens nyhetsbrev.
Fake ad blocker utvidelse krasjer nettleseren for ClickFix-angrep
En ondartet malvertising-kampanje har brukt en falsk Chrome/Edge utvidelse kalt NexShield som utgir seg for å være en annonse og sporingsblokker. Utvidelsen krasjer brukernes nettleser gjennom en ressursutarming (DoS) ved å åpne utallige interne tilkoblinger, og når nettleseren starter på nytt vises et falskt varsel om «unormalt stopp» og en anbefaling om å utføre en «scan».
Hvis brukeren følger instruksjonene og limer inn kommandoen som ligger i utklippstavlen, kjøres en skjult PowerShell-kommando som laster ned og kjører skadelig kode. For domenetilknyttede (enterprise) maskiner installeres en Python basert remote access trojan kalt ModeloRAT, som kan utføre systemreconnaissance, kjøre kommandoer, endre register, hente inn flere payloads og oppdatere seg selv.
Denne kampanjen er en variant av ClickFix angrep som er blitt døpt CrashFix, og den tilskrives trusselaktøren kjent som KongTuke. Utvidelsen er fjernet fra Chrome Web Store, men brukere som har installert den må gjennomføre full systemrens siden fjerning av utvidelsen ikke sletter alle infiserte komponenter.
Ny phishing-kampanje utnytter LinkedIn-meldinger for å spre skadevare
Sikkerhetsforskere hos ReliaQuest har avdekket en ny phishing-kampanje som bruker private meldinger på LinkedIn til å spre ondartet programvare.
Trusselaktører tar kontakt med personer i nøkkelposisjoner via LinkedIn, bygger tillit, og lurer dem til å laste ned en infisert WinRAR-fil. Når filen åpnes, installeres en legitim PDF-leser sammen med en ondartet DLL-fil som kjører i bakgrunnen. Angriperne bruker deretter en Python-tolker til å etablere vedvarende fjerntilgang til systemet.
I motsetning til e-post, der de fleste organisasjoner har sikkerhetsverktøy på plass, mangler sosiale medier ofte samme overvåking. Dette gjør direktemeldinger til en attraktiv kanal for angripere som ønsker å omgå tradisjonelle sikkerhetskontroller.
Kampanjen ser ut til å være bred og opportunistisk, rettet mot flere bransjer og regioner. Når angriperne først har fått tilgang, kan de eskalere privilegier, bevege seg lateralt i nettverket og eksfiltrere data.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.