Første Java 0-day angreb i to år, er rettet mod Nato og USA’s forsvarsorganisation

Kasperskys sikkerhedsforskere har afdækket en ny ondsindet og særdeles avanceret malware, de har døbt BloodyStealer, der i øjeblikket bliver solgt på Dark Net. Den bruges til at stjæle gameres brugerkontooplysninger og har de populære gaming-platforme, som Steam, Epic Games Store og EA Origin, i sit søgelys. Den ondsindede malware BloodyStealer er en trojaner, der, forklædt som lovlig software, går ind og stjæler brugerkontooplysninger (brugernavne og adgangskoder) fra onlinespillere, heraf navnet stealer. BloodyStealer er ganske avanceret med sine funktioner til at undgå analyse og registrering af brugernes it-sikkerhedsprodukter og en lav abonnementspris. Den er et godt eksempel på den type trussel, som onlinespillere står over for. BloodyStealer er en trojansk tyveknægt, der er i stand til at indsamle og udtrække forskellige typer data, f.eks. cookies, adgangskoder, formularer, kreditkortoplysninger fra browsere, skærmbilleder, log-in-koder og sessioner fra forskellige programmer. Specielt EpicGames, Origin og Steam er udsatte. Trojanen bliver solgt i undergrundsfora på det mørke internet til særdeles attraktive priser; mindre end 70 kroner for en måneds abonnement eller kun 254 kroner for et livslangt abonnement. Denne malware skiller sig især ud pga. dens mange “anti-analyse-værn”, der gør det svært at bruge teknikker som reverse engineering og analyse, packers og anti-debugging-teknikker. Kaspersky har opdaget BloodyStealer angreb i Europa, Latinamerika, Asien og Stillehavsområdet. Selv om BloodyStealer ikke udelukkende er lavet til at stjæle oplysninger på gaming-sites, peger de platforme, den rammer, klart på en efterspørgsel efter denne type data blandt it-kriminelle. Logs, konti, in-game-varer – alle disse spilrelaterede produkter sælges på det mørke net til …. (læs mere her)

Kaspersky har netop opdaget en sjælden APT, der siden 2018 har sneget sig uden om virusscannere og som er målrettet bestemte industrivirksomheder. MontysThree, som de har døbt den, er en APT, der ved hjælp af phishing og steganografi (en teknik, hvormed man skjuler at data overhoved findes, som regel ved at forklæde dem som en anden type data) har fået adgang til interne, fortrolige dokumenter. Industrispionage er normalt forbeholdt diplomater, politikere og andre embedsmænd, da de ligger inde med fortrolige eller politisk følsomme oplysninger. Langt mere sjældent er den målrettede industrispionage, hvor der stjæles informationer fra konkurrenter for at opnå fordele på markedet. Det er, hvad industrivirksomheder kan frygte med ny malware. Som et hvert angreb, kan det have ødelæggende konsekvenser for virksomheden. Sofistikerede og amatøragtige TTPs For at udføre sin spionage implementerer MontysThree et malware-program bestående af fire moduler. Den første spredes ved hjælp af RAR SFX-filer (selvudpakkende filer), der indeholder navne relateret til medarbejdernes kontaktlister, teknisk dokumentation og medicinske analyseresultater, for at narre medarbejdere til at downloade filerne, altså klassisk phishing. For at undgå at ryge i antivirus-skanneren bruger malwaren en kendt teknik kaldet steganografi. Steganografi bruges til at skjule det faktum, at data udveksles. I tilfælde af MontysThree er den vigtigste ondsindede last forklædt som en bitmap-fil (et format til lagring af digitale billeder). Hvis den rigtige kommando indtastes, bruges en skræddersyet algoritme til at dekryptere indholdet fra pixel-arrayet og køre den ondsindede virus. Går efter Microsoft og Adobe Acrobat-dokumenter Den målrettede malware skanner derefter virksomhedens lokale …. (læs mere her)