Nettkriminelle misbruker Google Cloud Email funksjonen i flertrinns phishing kampanje. Over 10 000 Fortinet brannmurer eksponert og aktivt utnyttet via 2FA-bypass sårbarhet. Ny VVS Discord infostealer.
Nettkriminelle misbruker Google Cloud Email funksjonen i flertrinns phishing kampanje
Sikkerhetsforskere har avslørt en omfattende phishing kampanje der angripere misbruker Google Cloud Application Integration sin e-post funksjon for å sende ut falske e-poster som ser ut som legitime varsler fra Google. E-postene blir sendt fra en ekte Google adresse (noreply-application-integration@google.com), noe som gjør at de omgår vanlige e-post filtre og autentiseringssjekker som SPF og DMARC og i stor grad havner i brukernes innbokser. Meldingen inneholder typiske bedriftsvarsler (som voicemail eller tilgang til delte filer) med lenker som leder brukeren gjennom flere omdirigeringer, inkludert en falsk CAPTCHA side, før de ender på en falsk Microsoft påloggingsside som stjeler brukerdetaljer. Kampanjen har sendt nesten 9 400 phishing-eposter til ca. 3 200 organisasjoner globalt i løpet av en 14-dagers periode i desember 2025, målrettet mot flere sektorer som produksjon, teknologi, finans, profesjonelle tjenester og detaljhandel. Google har blokkert misbruket og jobber med ytterligere tiltak.
Over 10 000 Fortinet brannmurer eksponert og aktivt utnyttet via 2FA-bypass sårbarhet
Over 10 000 Fortinet brannmur instanser er fortsatt eksponert på internett og sårbare for angrep som utnytter en kritisk 2FA-bypass sårbarhet (CVE-2020-12812) som ble oppdaget for fem år siden. Sårbarheten, med alvorlighetsgrad 9,8/10, gjør det mulig for angripere å logge inn uten å bli bedt om flerfaktorautentisering ved å endre brukernavnets store/små bokstaver. Selv om Fortinet lanserte sikkerhetsoppdateringer i 2020, viser nyere analyser at sårbarheten fortsatt misbrukes, spesielt på enheter med LDAP aktivert.
Shadowserver rapporterer at over 10 000 enheter er ubeskyttet, og sårbarheten har tidligere vært brukt i ransomware-angrep og av statssponsede aktører. Fortinet produkter er ofte mål for angrep, inkludert nyere nulldagssårbarheter, noe som understreker behovet for rask patching og streng konfigurasjonskontroll.
Ny VVS Discord infostealer
En ny Python-basert infostealer kalt VVS Stealer er avdekket, designet for å stjele Discord tokens, kontodata og nettleserinformasjon fra Chromium og Firefox baserte nettlesere, samt ta skjermbilder.
Skadelig programvare distribueres som en PyInstaller pakke og benytter Pyarmor for obfuskering, noe som gjør den vanskelig å analysere og oppdage. VVS Stealer setter opp persistens via Windows Startup og bruker falske feilmeldinger for å lure brukere til omstart. Den kan også utføre Discord injeksjon ved å terminere applikasjonen og laste ned et obfuskert JavaScript payload for å overvåke trafikk via Chrome DevTools Protocol.
Skadevaren markedsføres på Telegram med fleksible abonnementsløsninger, noe som senker terskelen for anskaffelse og øker tilgjengeligheten for trusselaktører. Denne trenden viser økende bruk av avansert obfuskering og legitime verktøy til å lage stealthy malware.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.