Το Trojan Rocinante παρουσιάζεται ως εφαρμογή τραπεζικών υπηρεσιών, με σκοπό την κλοπή ευαίσθητων δεδομένων από χρήστες Android στη Βραζιλία
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το Trojan Rocinante παρουσιάζεται ως εφαρμογή τραπεζικών υπηρεσιών, με σκοπό την κλοπή ευαίσθητων δεδομένων από χρήστες Android στη Βραζιλία
https://www.secnews.gr/616090/to-trojan-rocinante-parousiazetai-ws-efarmogh-trapezikwn-yphresiwn-me-skopo-thn-kloph-evaisthitwn-dedomenwn-apo-xrhstes-android-sth-vrazilia/
Sep 3rd 2024, 15:10
Οι χρήστες κινητών τηλεφώνων στη Βραζιλία είναι στο στόχαστρο μιας νέας εκστρατείας κακόβουλου λογισμικού, που φέρει το όνομα Rocinante, και παρέχει ένα νέο τραπεζικό Trojan για Android.
«Αυτή η οικογένεια κακόβουλου λογισμικού είναι ικανή να καταγράφει πληκτρολογήσεις μέσω της Υπηρεσίας Προσβασιμότητας και μπορεί επίσης να κλέψει προσωπικά δεδομένα (PII) από τα θύματά της, χρησιμοποιώντας ψεύτικες οθόνες που προσποιούνται ότι είναι διάφορες τράπεζες», ανέφερε η ολλανδική εταιρεία ασφάλειας ThreatFabric.
Δείτε επίσης: Το νέο trojan «BingoMod» στοχεύει Android συσκευές
«Επιπλέον, μπορεί να εκμεταλλευτεί αυτές τις πληροφορίες για να αποκτήσει έλεγχο της συσκευής (DTO), αξιοποιώντας τα προνόμια της υπηρεσίας προσβασιμότητας και αποκτώντας πλήρη απομακρυσμένη πρόσβαση στη μολυσμένη συσκευή.»
Οι κύριοι στόχοι του κακόβουλου λογισμικού περιλαμβάνουν χρηματοπιστωτικά ιδρύματα όπως το Itaú Shop και το Santander, με ψεύτικες εφαρμογές που προσποιούνται ότι είναι οι Bradesco Prime και Correios Celular. Ανάμεσα σε αυτές, περιλαμβάνονται οι Livelo Pontos (com.resgatelivelo.cash), Correios Recarga (com.correiosrecarga.android), Bradesco Prime (com.resgatelivelo.cash) και Módulo de Segurança (com.viberotion1414.app).
Η ανάλυση του πηγαίου κώδικα του κακόβουλου λογισμικού αποκάλυψε ότι οι χειριστές του αναφέρονται εσωτερικά στο Rocinante ως Pegasus (ή PegasusSpy). Είναι σημαντικό να σημειωθεί ότι το όνομα Pegasus δεν σχετίζεται με το λογισμικό υποκλοπής που έχει αναπτύξει η NSO Group.
Το Pegasus φαίνεται να έχει δημιουργηθεί από έναν απειλητικό παράγοντα γνωστό ως DukeEugene, ο οποίος έχει διακριθεί για την ανάπτυξη παρόμοιων κακόβουλων λογισμικών, όπως τα ERMAC, BlackRock, Hook και Loot, σύμφωνα με πρόσφατη ανάλυση της Silent Push. Η ThreatFabric ανέφερε ότι εντόπισε τμήματα του Rocinante που επηρεάζονται από πρώιμες εκδόσεις του ERMAC, αν και η διαρροή του πηγαίου κώδικα του ERMAC το 2023 μπορεί να έχει επηρεάσει αυτή την κατάσταση.
«Αυτή είναι η πρώτη περίπτωση όπου μια αρχική οικογένεια κακόβουλου λογισμικού υιοθέτησε κώδικα από μια διαρροή, ενσωματώνοντας μόνο ένα τμήμα του στον δικό της κώδικα», επεσήμανε. «Είναι πιθανό ότι αυτές οι δύο εκδόσεις αποτελούν ξεχωριστά πιρούνια του ίδιου αρχικού έργου.»
Το Rocinante διανέμεται κυρίως μέσω phishing ιστοσελίδων που προσπαθούν να παραπλανήσουν ανυποψίαστους χρήστες ώστε να εγκαταστήσουν ψεύτικες εφαρμογές dropper. Μόλις εγκατασταθούν, ζητούν δικαιώματα πρόσβασης υπηρεσίας προσβασιμότητας, επιτρέποντάς τους να καταγράφουν όλες τις δραστηριότητες στη μολυσμένη συσκευή, να παρακολουθούν μηνύματα SMS και να εμφανίζουν ψεύτικες σελίδες σύνδεσης.
Επιπλέον, αποκαθιστούν επαφή με έναν διακομιστή εντολών και ελέγχου (C2) για να περιμένουν περαιτέρω οδηγίες – προσομοιώνοντας συμβάντα αφής και ολίσθησης – που θα εκτελούνται εξ αποστάσεως. Οι προσωπικές πληροφορίες που συλλέγονται εξορύσσονται σε ένα bot Telegram.
Διαβάστε περισσότερα: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα
«Το bot εξάγει τα χρήσιμα PII που αποκτώνται μέσω ψεύτικων σελίδων σύνδεσης, οι οποίες προσποιούνται ότι είναι οι τράπεζες-στόχοι. Στη συνέχεια, δημοσιεύει αυτές τις πληροφορίες, σε μορφή, σε μια συνομιλία στην οποία έχουν πρόσβαση οι εγκληματίες», σημείωσε η ThreatFabric. «Οι πληροφορίες ποικίλλουν ελαφρώς ανάλογα με την ψεύτικη σελίδα σύνδεσης που χρησιμοποιήθηκε και περιλαμβάνουν δεδομένα συσκευής, όπως το μοντέλο και τον αριθμό τηλεφώνου, τον αριθμό CPF, τον κωδικό πρόσβασης ή τον αριθμό λογαριασμού.»
Αυτή η ανάπτυξη έρχεται καθώς η Symantec επισημαίνει μια άλλη καμπάνια κακόβουλου λογισμικού για τραπεζικό Trojan, που εκμεταλλεύεται το domain ασφαλούς διακομιστή [.]net για να στοχεύσει ισπανόφωνες και πορτογαλόφωνες περιοχές.
«Η επίθεση πολλαπλών σταδίων ξεκινά με κακόβουλες διευθύνσεις URL που οδηγούν σε ένα ασαφές αρχείο .hta», δήλωσε η εταιρεία που ανήκει στην Broadcom. «Αυτό το αρχείο οδηγεί σε ένα ωφέλιμο φορτίο JavaScript που εκτελεί πολλαπλούς ελέγχους AntiVM και AntiAV πριν από τη λήψη του τελικού ωφέλιμου φορτίου AutoIT. Αυτό το ωφέλιμο φορτίο φορτώνεται χρησιμοποιώντας ένεση διεργασίας με στόχο την κλοπή τραπεζικών πληροφοριών και διαπιστευτηρίων από το σύστημα του θύματος και την εξαγωγή τους σε έναν server C2.»
Ακολουθεί η εμφάνιση μιας νέας υπηρεσίας "extensionware-as-a-service" που διαφημίζεται προς πώληση μέσω μιας πρόσφατης έκδοσης του Genesis Market. Αυτή η πλατφόρμα έκλεισε λόγω αυστηρών επιβολών του νόμου στις αρχές του 2023 και έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες από χρήστες στην περιοχή της Λατινικής Αμερικής (LATAM), χρησιμοποιώντας κακόβουλες επεκτάσεις προγράμματος περιήγησης που διανέμονται μέσω του Chrome Web Store.
Η δραστηριότητα αυτή, που ξεκίνησε στα μέσα του 2023 και στοχεύει το Μεξικό και άλλες χώρες της LATAM, έχει αποδοθεί σε μια ομάδα ηλεκτρονικού εγκλήματος γνωστή ως Cybercartel, η οποία προσφέρει αυτού του είδους τις υπηρεσίες σε άλλα κυκλώματα κυβερνοεγκληματιών. Δυστυχώς, οι επεκτάσεις αυτές δεν είναι πλέον διαθέσιμες για λήψη.
"Η κακόβουλη επέκταση του Google Chrome προσποιείται μια νόμιμη εφαρμογή, εξαπατώντας τους χρήστες να την εγκαταστήσουν μέσω παραβιασμένων ιστότοπων ή καμπανιών phishing," ανέφερε ο ερευνητής ασφαλείας Ramses Vazquez της ομάδας Metabase Q Ocelot Threat, εκπροσωπώντας την Karla Gomez.
Δείτε ακόμη: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
"Μόλις εγκατασταθεί η επέκταση, εισάγει κώδικα JavaScript στις ιστοσελίδες που επισκέπτεται ο χρήστης. Αυτός ο κώδικας μπορεί να υποκλέψει και να τροποποιήσει το περιεχόμενο των σελίδων, καθώς και να αποσπάσει ευαίσθητα δεδομένα όπως credentials σύνδεσης, πληροφορίες πιστωτικών καρτών και άλλα προσωπικά στοιχεία, ανάλογα με τη συγκεκριμένη καμπάνια και τον τύπο των πληροφοριών που στοχεύουν."
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το Trojan Rocinante παρουσιάζεται ως εφαρμογή τραπεζικών υπηρεσιών, με σκοπό την κλοπή ευαίσθητων δεδομένων από χρήστες Android στη Βραζιλία
https://www.secnews.gr/616090/to-trojan-rocinante-parousiazetai-ws-efarmogh-trapezikwn-yphresiwn-me-skopo-thn-kloph-evaisthitwn-dedomenwn-apo-xrhstes-android-sth-vrazilia/
Sep 3rd 2024, 15:10
Οι χρήστες κινητών τηλεφώνων στη Βραζιλία είναι στο στόχαστρο μιας νέας εκστρατείας κακόβουλου λογισμικού, που φέρει το όνομα Rocinante, και παρέχει ένα νέο τραπεζικό Trojan για Android.
«Αυτή η οικογένεια κακόβουλου λογισμικού είναι ικανή να καταγράφει πληκτρολογήσεις μέσω της Υπηρεσίας Προσβασιμότητας και μπορεί επίσης να κλέψει προσωπικά δεδομένα (PII) από τα θύματά της, χρησιμοποιώντας ψεύτικες οθόνες που προσποιούνται ότι είναι διάφορες τράπεζες», ανέφερε η ολλανδική εταιρεία ασφάλειας ThreatFabric.
Δείτε επίσης: Το νέο trojan «BingoMod» στοχεύει Android συσκευές
«Επιπλέον, μπορεί να εκμεταλλευτεί αυτές τις πληροφορίες για να αποκτήσει έλεγχο της συσκευής (DTO), αξιοποιώντας τα προνόμια της υπηρεσίας προσβασιμότητας και αποκτώντας πλήρη απομακρυσμένη πρόσβαση στη μολυσμένη συσκευή.»
Οι κύριοι στόχοι του κακόβουλου λογισμικού περιλαμβάνουν χρηματοπιστωτικά ιδρύματα όπως το Itaú Shop και το Santander, με ψεύτικες εφαρμογές που προσποιούνται ότι είναι οι Bradesco Prime και Correios Celular. Ανάμεσα σε αυτές, περιλαμβάνονται οι Livelo Pontos (com.resgatelivelo.cash), Correios Recarga (com.correiosrecarga.android), Bradesco Prime (com.resgatelivelo.cash) και Módulo de Segurança (com.viberotion1414.app).
Η ανάλυση του πηγαίου κώδικα του κακόβουλου λογισμικού αποκάλυψε ότι οι χειριστές του αναφέρονται εσωτερικά στο Rocinante ως Pegasus (ή PegasusSpy). Είναι σημαντικό να σημειωθεί ότι το όνομα Pegasus δεν σχετίζεται με το λογισμικό υποκλοπής που έχει αναπτύξει η NSO Group.
Το Pegasus φαίνεται να έχει δημιουργηθεί από έναν απειλητικό παράγοντα γνωστό ως DukeEugene, ο οποίος έχει διακριθεί για την ανάπτυξη παρόμοιων κακόβουλων λογισμικών, όπως τα ERMAC, BlackRock, Hook και Loot, σύμφωνα με πρόσφατη ανάλυση της Silent Push. Η ThreatFabric ανέφερε ότι εντόπισε τμήματα του Rocinante που επηρεάζονται από πρώιμες εκδόσεις του ERMAC, αν και η διαρροή του πηγαίου κώδικα του ERMAC το 2023 μπορεί να έχει επηρεάσει αυτή την κατάσταση.
«Αυτή είναι η πρώτη περίπτωση όπου μια αρχική οικογένεια κακόβουλου λογισμικού υιοθέτησε κώδικα από μια διαρροή, ενσωματώνοντας μόνο ένα τμήμα του στον δικό της κώδικα», επεσήμανε. «Είναι πιθανό ότι αυτές οι δύο εκδόσεις αποτελούν ξεχωριστά πιρούνια του ίδιου αρχικού έργου.»
Το Rocinante διανέμεται κυρίως μέσω phishing ιστοσελίδων που προσπαθούν να παραπλανήσουν ανυποψίαστους χρήστες ώστε να εγκαταστήσουν ψεύτικες εφαρμογές dropper. Μόλις εγκατασταθούν, ζητούν δικαιώματα πρόσβασης υπηρεσίας προσβασιμότητας, επιτρέποντάς τους να καταγράφουν όλες τις δραστηριότητες στη μολυσμένη συσκευή, να παρακολουθούν μηνύματα SMS και να εμφανίζουν ψεύτικες σελίδες σύνδεσης.
Επιπλέον, αποκαθιστούν επαφή με έναν διακομιστή εντολών και ελέγχου (C2) για να περιμένουν περαιτέρω οδηγίες – προσομοιώνοντας συμβάντα αφής και ολίσθησης – που θα εκτελούνται εξ αποστάσεως. Οι προσωπικές πληροφορίες που συλλέγονται εξορύσσονται σε ένα bot Telegram.
Διαβάστε περισσότερα: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα
«Το bot εξάγει τα χρήσιμα PII που αποκτώνται μέσω ψεύτικων σελίδων σύνδεσης, οι οποίες προσποιούνται ότι είναι οι τράπεζες-στόχοι. Στη συνέχεια, δημοσιεύει αυτές τις πληροφορίες, σε μορφή, σε μια συνομιλία στην οποία έχουν πρόσβαση οι εγκληματίες», σημείωσε η ThreatFabric. «Οι πληροφορίες ποικίλλουν ελαφρώς ανάλογα με την ψεύτικη σελίδα σύνδεσης που χρησιμοποιήθηκε και περιλαμβάνουν δεδομένα συσκευής, όπως το μοντέλο και τον αριθμό τηλεφώνου, τον αριθμό CPF, τον κωδικό πρόσβασης ή τον αριθμό λογαριασμού.»
Αυτή η ανάπτυξη έρχεται καθώς η Symantec επισημαίνει μια άλλη καμπάνια κακόβουλου λογισμικού για τραπεζικό Trojan, που εκμεταλλεύεται το domain ασφαλούς διακομιστή [.]net για να στοχεύσει ισπανόφωνες και πορτογαλόφωνες περιοχές.
«Η επίθεση πολλαπλών σταδίων ξεκινά με κακόβουλες διευθύνσεις URL που οδηγούν σε ένα ασαφές αρχείο .hta», δήλωσε η εταιρεία που ανήκει στην Broadcom. «Αυτό το αρχείο οδηγεί σε ένα ωφέλιμο φορτίο JavaScript που εκτελεί πολλαπλούς ελέγχους AntiVM και AntiAV πριν από τη λήψη του τελικού ωφέλιμου φορτίου AutoIT. Αυτό το ωφέλιμο φορτίο φορτώνεται χρησιμοποιώντας ένεση διεργασίας με στόχο την κλοπή τραπεζικών πληροφοριών και διαπιστευτηρίων από το σύστημα του θύματος και την εξαγωγή τους σε έναν server C2.»
Ακολουθεί η εμφάνιση μιας νέας υπηρεσίας "extensionware-as-a-service" που διαφημίζεται προς πώληση μέσω μιας πρόσφατης έκδοσης του Genesis Market. Αυτή η πλατφόρμα έκλεισε λόγω αυστηρών επιβολών του νόμου στις αρχές του 2023 και έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες από χρήστες στην περιοχή της Λατινικής Αμερικής (LATAM), χρησιμοποιώντας κακόβουλες επεκτάσεις προγράμματος περιήγησης που διανέμονται μέσω του Chrome Web Store.
Η δραστηριότητα αυτή, που ξεκίνησε στα μέσα του 2023 και στοχεύει το Μεξικό και άλλες χώρες της LATAM, έχει αποδοθεί σε μια ομάδα ηλεκτρονικού εγκλήματος γνωστή ως Cybercartel, η οποία προσφέρει αυτού του είδους τις υπηρεσίες σε άλλα κυκλώματα κυβερνοεγκληματιών. Δυστυχώς, οι επεκτάσεις αυτές δεν είναι πλέον διαθέσιμες για λήψη.
"Η κακόβουλη επέκταση του Google Chrome προσποιείται μια νόμιμη εφαρμογή, εξαπατώντας τους χρήστες να την εγκαταστήσουν μέσω παραβιασμένων ιστότοπων ή καμπανιών phishing," ανέφερε ο ερευνητής ασφαλείας Ramses Vazquez της ομάδας Metabase Q Ocelot Threat, εκπροσωπώντας την Karla Gomez.
Δείτε ακόμη: Gh0st RAT Trojan: Στοχεύει Κινέζους χρήστες Windows μέσω Fake Site Chrome
"Μόλις εγκατασταθεί η επέκταση, εισάγει κώδικα JavaScript στις ιστοσελίδες που επισκέπτεται ο χρήστης. Αυτός ο κώδικας μπορεί να υποκλέψει και να τροποποιήσει το περιεχόμενο των σελίδων, καθώς και να αποσπάσει ευαίσθητα δεδομένα όπως credentials σύνδεσης, πληροφορίες πιστωτικών καρτών και άλλα προσωπικά στοιχεία, ανάλογα με τη συγκεκριμένη καμπάνια και τον τύπο των πληροφοριών που στοχεύουν."
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια