@CitizenSec , 14-10-2024
В последнее время наблюдается новая кампания вредоносного ПО, нацеленная на страховой и финансовый сектора. Злоумышленники используют ссылки на GitHub в фишинговых письмах, чтобы обойти меры безопасности и доставить вредоносное ПО под названием Remcos RAT. Это означает, что такой метод становится все более популярным среди киберпреступников.
Исследователь Cofense, Джейкоб Малимбан, отметил, что в этой кампании используются легитимные репозитории, такие как программное обеспечение для подачи налоговых деклараций UsTaxes, HMRC и InlandRevenue, вместо неизвестных репозиториев с низким рейтингом. Использование доверенных репозиториев для доставки вредоносного ПО — это относительно новая тактика, которая позволяет злоумышленникам обойти защиту.
В центре этой атаки находится злоупотребление инфраструктурой GitHub для размещения вредоносных файлов. Один из вариантов этой техники, впервые раскрытый OALABS Research в марте 2024 года, включает в себя открытие злоумышленниками проблемы в известных репозиториях и загрузку вредоносного файла, после чего проблема закрывается без сохранения. В результате загруженное вредоносное ПО остается доступным, даже если проблема не была сохранена.
Эта тактика используется для обмана пользователей, заставляя их загружать загрузчик вредоносного ПО на основе Lua, который может устанавливать постоянное присутствие на зараженных системах и доставлять дополнительные вредоносные файлы. Фишинговая кампания, обнаруженная Cofense, использует аналогичный подход, но вместо этого использует комментарии на GitHub для прикрепления файла (вредоносного ПО), после чего комментарий удаляется. Ссылка на файл остается активной и распространяется через фишинговые письма.
Письма со ссылками на GitHub эффективны для обхода мер безопасности, так как GitHub обычно считается доверенным доменом. Это позволяет злоумышленникам напрямую ссылаться на архив вредоносного ПО в письме, не прибегая к другим методам обхода.
В npm обнаружены вредоносные пакеты, маскирующиеся под популярный пакет ethers.
@CitizenSec
28-10-2024Опубликована новая атака под названием 'Windows Downdate', которая позволяет взламывать Windows 11, понизив версию системных компонентов и используя старые уязвимости.
@CitizenSec
26-10-2024Интернет-архив (Archive.org) столкнулся со второй утечкой данных в октябре 2024 года, когда хакеры получили доступ к служебным билетам через незащищенные токены API Zendesk.
@CitizenSec
22-10-2024Этот вредоносный софт использует хитрые методы, чтобы обмануть пользователей, показывая поддельный экран разблокировки.
@CitizenSec
20-10-2024Злоумышленники начали свои атаки в начале октября, и их целью является установка программы Lumma для кражи данных.
@CitizenSec
17-10-2024Сотрудники уголовного розыска Петербурга задержали двух злоумышленников, которые взламывали учетные записи на портале Госуслуг и оформляли кредиты в микрофинансовых организациях.
@CitizenSec
14-10-2024Аналитики компании JFrog обнаружили новую угрозу, названную Revival Hijack.
@CitizenSec
18-09-2024Недавнее исследование показало, что Республика Казахстан занимает второе место по количеству кибератак в странах СНГ, с 8% от общего числа.
@CitizenSec
16-09-2024Эта уязвимость, известная как SSRF (server-side request forgery), могла позволить злоумышленникам получить доступ к конфиденциальным данным.
@CitizenSec
09-09-2024