Hackernews 编译,转载请注明出处:
窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。
TinyNuke 的重新出现
TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。
Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。
最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。
托管在合法站点上的有效负载
攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。
对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的 *** 相同, 而“nikoumouk”在这些通信中使用的 *** 与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。
“Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。
“该字符串在流行 *** 语中含侮辱意思,主要用于欧洲讲法语的郊区。”
在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。
就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。
通过添加一个新的注册表项来保证持久性,如下所示:
Persistence is secured by adding a new registry key as shown below:
key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82
data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe
Μise en garde
虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。
因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。
消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。 这项研究是由 Chainalysi...
近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解...
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...