Операторы вредоносного ПО Trickbot организовали фишинговые атаки на клиентов 60 крупных организаций, многие из которых размещены в США. Новую вредоносную кампания зафиксировали специалисты из ИБ-компании Check Point Research, сообщает SecurityLab.
Операторы TrickBot в ходе атак используют известные бренды, в том числе Bank of America, Wells Fargo, Microsoft, Amazon, PayPal, American Express, Robinhood, Blockchain.com и Федеральный кредитный союз ВМС США (NFCU).
Исследователи предоставили технические подробности о трех ключевых модулях TrickBot (из примерно 20), которые вредонос использовал в данных атаках.
Первым является injectDll — модуль внедрения web-команд, который может скомпрометировать сеанс браузера. Модуль может внедрять JavaScript-код в браузер для выполнения кражи банковских и учетных данных, например, путем перенаправления жертв на вредоносные страницы, замаскированные под легитимные крупные компании. Кроме того, формат web-вставки модуля использует небольшую полезную нагрузку, которая обфусцируется с целью предотвратить обнаружение.
Модуль TabDLL осуществляет кражу информации на протяжении пяти этапов. Вредоносный код открывает память приложения LSASS для хранения украденных данных, внедряет код в explorer.exe, а затем заставляет жертву вводить учетные данные для входа в систему, прежде чем заблокировать ее в сеансе. Затем учетные данные похищаются и удаляются из LSASS с помощью инструмента Mimikatz, а затем отправляются на командный сервер злоумышленников. Модуль также может использовать эксплоит EternalRomance для распространения Trickbot по сетям SMBv1.
Третий модуль — pwgrabc, предназначенный для кражи учетных данных из приложений, включая браузеры Google Chrome, Microsoft Edge, Mozilla Firefox и Internet Explorer, Microsoft Outlook, FileZilla, TeamViewer, Git и OpenSSH.
Специалисты BI ZONE TDR сообщили, что критическую уязвимость React2Shell уже начали активно применять в реальных кибератаках.
В России заработал новый режим навигации в сервисе «Яндекс Карты», призванный решить проблему массовых сбоев GPS.
Google объявила о серии обновлений безопасности Android, направленных на борьбу с мобильным вредоносным ПО и серыми схемами распространения приложений.
Компания «Газинформсервис» по просьбе одного из московских банков провела поиск скрытых угроз в его инфраструктуре.
В России прекратил работу крупный технологический стартап, который позиционировался как отечественная альтернатива зарубежным цифровым платформам.
Исследователи по кибербезопасности сообщили о критической уязвимости в платформе Gogs, которая используется для хостинга Git-репозиториев.
UserGate, отечественный разработчик решений по информационной безопасности, открыл научно-исследовательскую лабораторию на базе МИРЭА — Российского технологического университета (РТУ МИРЭА).
Security Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.
Портал Cyber Media подготовил аналитический обзор рынка DLP (Data Loss Prevention) в России.
Исследователи выяснили, что современные системы искусственного интеллекта испытывают серьезные трудности при попытке обосновать свои выводы в логических задачах.
